UNIVERSIDAD TECNOLOGICA NACIONAL FACULTAD REGIONAL RESISTENCIA
GESTION DE SEGURIDAD DE LA INFORMACIÓN Ingeniería en Sistemas de Información
Apuntes de Teoría Unidad 1 Gobierno de Seguridad de la Información
La información y las tecnologías a través de las que se crea, maneja y transfiere la información son fundamentales. Pese a esa importancia de la información, la realidad es que no hay un grado de concienciación suficiente en las organizaciones para reconocer la información como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Contenido 1.1 INTRODUCCIÓN................................................................. ............................................................................................... ............................................................. ............................................................. ................................. ... 5 1.2 DEFINICIÓN ............................................................. ........................................................................................... ............................................................. ............................................................. ........................................... ............. 5 1.3 OBJETIVOS......................................................................... ........................................................................................................ ............................................................. ............................................................. ................................. .. 5 1.4 VISIÓN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN ....................................... ................................................................... ............................ 5 1.4.1 IMPORTANCIA DEL GOBIERNO DE L A SEGURIDAD DE LA INFORMACIÓN ............................... ............................................................. ................................. ... 6 1.4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN .......................................................... .................................................................. ........ 7 1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIÓN ................................................................... ..................................................................................... .................. 8 1.5.1 METAS Y OBJETIVOS DEL NEGOCIO.......................................................... ......................................................................................... ............................................................. ................................. ... 9 1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIÓN........................................................... ......................................................................................... ................................ 10 Consejo de Dirección/Alta Dirección .............................................. ............................................................................. ............................................................. .............................................. ................ 10 Dirección Ejecutiva.............................................................................. ............................................................................................................. ............................................................. ......................................... ........... 10 Comité Directivo ............................................................. ........................................................................................... ............................................................. ............................................................. ................................ 10 CISO........................................................... ........................................................................................... .............................................................. ............................................................. .................................................... ..................... 10 1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES ......................................................... ....................................................................................... ......................................... ........... 11 1.5.4 GOBIERNO, GESTIÓN DE RIESGOS Y CUMPLIMIENTO .................................... .................................................................. ........................................................ .......................... 11 1.5.5 MODELO DE NEGOCIOS PARA L A SEGURIDAD DE LA INFORMACIÓN .............................................................. .................................................................... ...... 12 Interconexiones Dinámicas ............................................................ ........................................................................................... ............................................................. .............................................. ................ 13 1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIÓN......................................................... ....................................................................................... ......................................... ........... 14 1.6.1 TECNOLOGÍAS ............................................................ .......................................................................................... ............................................................. ............................................................. ................................ 15 1.7 GERENTE DE SEGURIDAD DE LA INFORMACIÓN ............................................................................ ........................................................................................................... ............................... 16 1.7.1 RESPONSABILIDADES.................................. RESPONSABILIDADES................................................................. ............................................................. ............................................................. ............................................... ................ 16 1.7.2 COMPROMISO DE LA L A ALTA DIRECCIÓN .................................................... ................................................................................... ............................................................. ................................ 16 Cómo Obtener el Compromiso de l a Alta Dirección ........................................................... ......................................................................................... ......................................... ........... 17 Establecimiento de los Canales de Reporte R eporte y Comunicación ................................................................. ...................................................................................... ..................... 18 1.7.3 CONCIENCIACIÓN SOBRE PRESUPUESTO ........................................................... .......................................................................................... .................................................... ..................... 19 1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN....................................................... ....................................................... 19 1.8.1 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO ASEGURAMIENTO (CONVERGENCIA) (CONVERGENCIA)............................................................ .................................................................. ...... 20 Convergencia.............................................................. ............................................................................................ ............................................................. ............................................................. .................................... ...... 20 1.9 MÉTRICAS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN ................................................................. ........................................................................... .......... 21 1.9.1 MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN ................................. ............................................................... ............................................................ .................................... ...... 22 1.9.2
MÉTRICAS DE IMPLEMENTACIÓN DE GOBIERNO ............................................................. ........................................................................................... ................................ 24
1.9.3
ALINEACIÓN ESTRATÉGICA ..................................................................................... ................................................................................................................... ......................................... ........... 24
1.9.4 GESTIÓN DE RIESGOS ................................................................ .............................................................................................. ............................................................. ............................................... ................ 25
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Contenido 1.1 INTRODUCCIÓN................................................................. ............................................................................................... ............................................................. ............................................................. ................................. ... 5 1.2 DEFINICIÓN ............................................................. ........................................................................................... ............................................................. ............................................................. ........................................... ............. 5 1.3 OBJETIVOS......................................................................... ........................................................................................................ ............................................................. ............................................................. ................................. .. 5 1.4 VISIÓN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN ....................................... ................................................................... ............................ 5 1.4.1 IMPORTANCIA DEL GOBIERNO DE L A SEGURIDAD DE LA INFORMACIÓN ............................... ............................................................. ................................. ... 6 1.4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN .......................................................... .................................................................. ........ 7 1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIÓN ................................................................... ..................................................................................... .................. 8 1.5.1 METAS Y OBJETIVOS DEL NEGOCIO.......................................................... ......................................................................................... ............................................................. ................................. ... 9 1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIÓN........................................................... ......................................................................................... ................................ 10 Consejo de Dirección/Alta Dirección .............................................. ............................................................................. ............................................................. .............................................. ................ 10 Dirección Ejecutiva.............................................................................. ............................................................................................................. ............................................................. ......................................... ........... 10 Comité Directivo ............................................................. ........................................................................................... ............................................................. ............................................................. ................................ 10 CISO........................................................... ........................................................................................... .............................................................. ............................................................. .................................................... ..................... 10 1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES ......................................................... ....................................................................................... ......................................... ........... 11 1.5.4 GOBIERNO, GESTIÓN DE RIESGOS Y CUMPLIMIENTO .................................... .................................................................. ........................................................ .......................... 11 1.5.5 MODELO DE NEGOCIOS PARA L A SEGURIDAD DE LA INFORMACIÓN .............................................................. .................................................................... ...... 12 Interconexiones Dinámicas ............................................................ ........................................................................................... ............................................................. .............................................. ................ 13 1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIÓN......................................................... ....................................................................................... ......................................... ........... 14 1.6.1 TECNOLOGÍAS ............................................................ .......................................................................................... ............................................................. ............................................................. ................................ 15 1.7 GERENTE DE SEGURIDAD DE LA INFORMACIÓN ............................................................................ ........................................................................................................... ............................... 16 1.7.1 RESPONSABILIDADES.................................. RESPONSABILIDADES................................................................. ............................................................. ............................................................. ............................................... ................ 16 1.7.2 COMPROMISO DE LA L A ALTA DIRECCIÓN .................................................... ................................................................................... ............................................................. ................................ 16 Cómo Obtener el Compromiso de l a Alta Dirección ........................................................... ......................................................................................... ......................................... ........... 17 Establecimiento de los Canales de Reporte R eporte y Comunicación ................................................................. ...................................................................................... ..................... 18 1.7.3 CONCIENCIACIÓN SOBRE PRESUPUESTO ........................................................... .......................................................................................... .................................................... ..................... 19 1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN....................................................... ....................................................... 19 1.8.1 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO ASEGURAMIENTO (CONVERGENCIA) (CONVERGENCIA)............................................................ .................................................................. ...... 20 Convergencia.............................................................. ............................................................................................ ............................................................. ............................................................. .................................... ...... 20 1.9 MÉTRICAS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN ................................................................. ........................................................................... .......... 21 1.9.1 MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN ................................. ............................................................... ............................................................ .................................... ...... 22 1.9.2
MÉTRICAS DE IMPLEMENTACIÓN DE GOBIERNO ............................................................. ........................................................................................... ................................ 24
1.9.3
ALINEACIÓN ESTRATÉGICA ..................................................................................... ................................................................................................................... ......................................... ........... 24
1.9.4 GESTIÓN DE RIESGOS ................................................................ .............................................................................................. ............................................................. ............................................... ................ 25
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información 1.9.5 ENTREGA DE VALOR .................................................................. ................................................................................................. ............................................................. .............................................. ................ 25 1.9.6 GESTIÓN DE ACTIVOS ................................................. ............................................................................... ............................................................. .............................................................. ............................... 26 1.9.7 MEDICIÓN DEL DESEMPEÑO ................................................ ............................................................................... ............................................................. ................................................... ..................... 26 1.9.8 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO ASEGURAMIENTO (CONVERGENCIA) (CONVERGENCIA)............................................................ .................................................................. ...... 27 1.10 VISIÓN GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN .................................................... .................................................................................. .................................... ...... 27 1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA ................................................................................. ................................................................................................. ................ 28 1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN........................................................... ................................................................. ...... 28 1.11.1 DIFICULTADES COMUNES ................................................... .................................................................................. ............................................................. ................................................... ..................... 28 1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN .............................................. ........................................................................ .......................... 29 1.12.1 LA META ........................................................................ ....................................................................................................... ............................................................. ........................................................ .......................... 30 1.12.2 DEFINICIÓN DE OBJETIVOS ....................................... ...................................................................... ............................................................. ............................................................. ............................... 31 Interrelaciones de Negocio ............................................................ ........................................................................................... ............................................................. .............................................. ................ 32 1.12.3 DESARROLLO DEL CASO DE NEGOCIO ......................................................................... ....................................................................................................... ......................................... ........... 32 Evaluación de Casos de Negocio .............................................................................. ............................................................................................................ ................................................... ..................... 33 Objetivos de Casos de Negocio ........................................................... .......................................................................................... ............................................................. ......................................... ........... 33 1.12.4 EL ESTADO DESEADO.......................................................... ........................................................................................ ............................................................. .................................................... ..................... 34 CobiT ......................................................... ......................................................................................... .............................................................. ............................................................. .................................................... ..................... 34 Modelo de la Capacidad de Madurez (CMM) .............................................................................. ............................................................................................................. ............................... 35 Cuadro de Mando (Balanced Scorecard) ................................... .................................................................. ............................................................. ................................................... ..................... 35 Enfoques Sobre la Arquitectura ............................................................................... ............................................................................................................. ................................................... ..................... 36 ISO/IEC 27001 y 27002 ............................................... ............................................................................. ............................................................. ............................................................. .................................... ...... 36 Otros Enfoques........................... Enfoques........................................................... .............................................................. ............................................................. ............................................................. .................................... ...... 37 1.12.5 OBJETIVOS DE RIESGO ......................................... ........................................................................ ............................................................. ............................................................. .................................... ..... 37 1.13 DETERMINACIÓN DEL ESTADO ACTUAL DE LA SEGURIDAD ......................................................... ....................................................................................... ................................ 38 1.13.1 RIESGO ACTUAL ........................................ ....................................................................... .............................................................. ............................................................. .............................................. ................ 38 Evaluación/Análisis de Impacto al Negocio .............................................. ............................................................................. ............................................................. .................................... ...... 38 1.14 ESTRATEGIA DE SEGURIDAD DE L A INFORMACIÓN ........................................................... ......................................................................................... ......................................... ........... 39 1.14.1 ELEMENTOS DE UNA ESTRATEGIA.......................................................... ......................................................................................... ............................................................. ................................ 39 Plan de Acción ...................................................................... ..................................................................................................... ............................................................. ........................................................ .......................... 39 1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIÓN GENERAL ...................................................................... ...................................................................... 40 Recursos .......................................................... ......................................................................................... .............................................................. ............................................................. .............................................. ................ 40 Limitaciones .......................................................... ........................................................................................ ............................................................. ............................................................. ......................................... ........... 41 1.15 RECURSOS DE LA ESTRATEGIA............................... ESTRATEGIA............................................................. ............................................................. ............................................................. ......................................... ........... 41 1.15.1 POLÍTICAS Y ESTÁNDARES ............................................................ ........................................................................................... ............................................................. ......................................... ........... 41 Políticas ........................................................... .......................................................................................... .............................................................. ............................................................. .............................................. ................ 41 Estándares............................................................. ........................................................................................... ............................................................. ............................................................. ......................................... ........... 41 Procedimientos .......................................................... ........................................................................................ ............................................................. ............................................................. .................................... ...... 42
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Directrices ................................................................................................................................................................... 42 1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIÓN ...................................................................................... 42 Marcos Alternativos de Arquitectura Empresarial ...................................................................................................... 43 1.15.3 CONTROLES.......................................................................................................................................................... 44 Controles de TI ............................................................................................................................................................ 44 Controles que no Están Relacionados con TI............................................................................................................... 44 Defensas por Niveles ................................................................................................................................................... 44 1.15.4 CONTRAMEDIDAS................................................................................................................................................. 44 1.15.5 TECNOLOGÍAS ...................................................................................................................................................... 45 1.15.6 PERSONAL ............................................................................................................................................................ 45 1.15.7 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 46 Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Información ..................................... 46 1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS ............................................................................................ 47 1.15.9 HABILIDADES........................................................................................................................................................ 47 1.15.10 CONCIENCIACIÓN Y FORMACIÓN ....................................................................................................................... 47 1.15.11 AUDITORÍAS ....................................................................................................................................................... 48 1.15.12 EXIGENCIA DE CUMPLIMIENTO .......................................................................................................................... 49 1.15.13 ANÁLISIS DE AMENAZAS .................................................................................................................................... 49 1.15.14 ANÁLISIS DE VULNERABILIDAD........................................................................................................................... 49 1.15.15 EVALUACIÓN DE RIESGOS .................................................................................................................................. 49 1.15.16 CONTRATACIÓN DE SEGUROS ............................................................................................................................ 50 1.15.17 EVALUACIÓN DE IMPACTO AL NEGOCIO............................................................................................................ 50 1.15.18 ANÁLISIS DE LA DEPENDENCIA DE RECURSOS.................................................................................................... 50 1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD......................................................................................................... 50 1.15.20 OTROS PROVEEDORES DE SOPORTE Y ASEGURAMIENTO ORGANIZACIONAL ................................................... 51 1.16 RESTRICCIONES DE LA ESTRATEGIA............................................................................................................................. 51 1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S...................................................................................................... 51 Requerimientos Sobre el Contenido y la Retención de Registros de Negocio ............................................................ 51 1.16.2 FACTORES FÍSICOS ................................................................................................................................................ 52 1.16.3 ÉTICA .................................................................................................................................................................... 52 1.16.4 CULTURA .............................................................................................................................................................. 52 1.16.5 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 52 1.16.6 COSTOS ................................................................................................................................................................ 52 1.16.7 PERSONAL ............................................................................................................................................................ 53 1.16.8 RECURSOS ............................................................................................................................................................ 53 1.16.9 CAPACIDADES....................................................................................................................................................... 53 1.16.10 TIEMPO .............................................................................................................................................................. 53
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información 1.16.11 TOLERANCIA AL RIESGO ..................................................................................................................................... 53 1.17 PLAN DE ACCIÓN PARA LA ESTRATEGIA ...................................................................................................................... 54 1.17.1 ANÁLISIS DE BRECHAS-BASE PARA UN PLAN DE ACCIÓN ..................................................................................... 54 1.17.2 ELABORACIÓN DE POLÍTICAS ............................................................................................................................... 54 1.17.3 ELABORACIÓN DE ESTÁNDARES........................................................................................................................... 56 1.17.4 CAPACITACIÓN Y CONCIENCIACIÓN ..................................................................................................................... 56 1.17.5 MÉTRICAS DEL PLAN DE ACCIÓN.......................................................................................................................... 56 INDICADORES CLAVE DE METAS ................................................................................................................................. 57 FACTORES CRÍTICOS DE ÉXITO .................................................................................................................................... 57 INDICADORES CLAVE DE DESEMPEÑO ........................................................................................................................ 57 Consideraciones Generales de Métricas ..................................................................................................................... 57 1.18 IMPLEMENTACIÓN DEL GOBIERNO DE LA SEGURIDAD-EJEMPLO ............................................................................... 59 1.18.1 MUESTRAS ADICIONALES DE POLÍTICAS .............................................................................................................. 61 1.19 METAS INMEDIATAS DEL PLAN DE ACCIÓN ................................................................................................................ 63 1.20 OBJETIVOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN ........................................................................... 64 1.21 ESTUDIO DE CASOS DE EJEMPLO ................................................................................................................................ 64 1.22 RECURSOS SUGERIDOS PARA AMPLIAR CONCEPTOS .................................................................................................. 66
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
1.1 INTRODUCCIÓN Esta unidad revisa el conjunto de conocimientos y tareas asociadas necesarias para desarrollar una estructura de gobierno de seguridad de la información alineada con los objetivos de la organización.
1.2 DEFINICIÓN Se define gobierno como "el conjunto de responsabilidades y prácticas, ejercidas por el consejo de dirección y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad."
1.3 OBJETIVOS El objetivo de esta área de práctica de trabajo es garantizar que el gerente de seguridad de la información comprenda los amplios requerimientos para un gobierno efectivo de seguridad de la información, así como los elementos y las acciones que se requieren para desarrollar una estrategia de seguridad de la información y un plan de acción para implementarla. Una extensión de la definición de gobierno incluye "la estructura a través de la cual se establecen los objetivos de la empresa, y se determinan los medios para alcanzar dichos objetivos y monitorear el desempeño.". La estructura y los medios incluyen estrategia; políticas y sus respectivos estándares, procedimientos y directrices; planes estratégicos y operativos; concienciación y capacitación; gestión de riesgos; controles; auditorías, y otras actividades de aseguramiento.
1.4 VISIÓN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN La información puede definirse como "datos que tienen significado y propósito." Actualmente, juega un papel cada vez más importante en todos los aspectos de nuestras vidas. La información se ha convertido en un componente indispensable de la conducción del negocio para virtualmente todas las organizaciones. En un creciente número de compañías, la información es el negocio. Este negocio incluye a participantes importantes de la sociedad del conocimiento que está surgiendo, como son Google, eBay, Microsoft y un sinnúmero de compañías tanto grandes como pequeñas. Algunos podrían no pensar en el software como información, pero es simplemente información para computadoras sobre cómo operar o procesar algo. Las organizaciones tradicionales también han sufrido una transformación radical en la "era de la información". Las artes gráficas y la industria de la imprenta, por ejemplo, trabajan hoy en día casi en su totalidad con información en formato digital. Las obras de arte y las obras maestras ya no son trazos físicos o partes de películas sino bloques de información almacenados en discos duros. Sería difícil encontrar un negocio que no haya sido tocado por la tecnología de la información y que no dependa de la información que procesa. Los sistemas de información se han vuelto penetrantes en la sociedad global y en los negocios, y la dependencia de estos sistemas y la información que manejan es, para muchos, absoluta. Los delitos y el vandalismo informáticos se han vuelto la opción de un creciente grupo de delincuentes discretos. Los terroristas y otros enemigos de la sociedad han acogido con descaro a la misma tecnología de información que afirman despreciar profundamente para anunciar su cosmovisión y revelar sus actos hostiles. Para llevar a cabo la tarea de protección adecuada de los recursos de información, se debe elevar el problema a una actividad a nivel del consejo de dirección como con las otras funciones críticas de gobierno. La complejidad, relevancia y
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información criticidad de la seguridad de la información y su gobierno exigen que sea tratada y apoyada por los niveles más altos de la organización. De manera progresiva, aquellos que comprenden el alcance y la profundad de los riesgos a los que está expuesta la información están tomando la postura de que, al ser un recurso crítico, la información debe tratarse con el mismo cuidado, precaución y prudencia que recibiría cualquier otro activo esencial para la supervivencia de la organización y, tal vez, de la sociedad misma. Hasta hace poco, la protección se había enfocado a los sistemas de TI que procesan y almacenan la vasta mayoría de la información en vez de la información per se. Sin embargo, este enfoque es demasiado limitado para cumplir con el nivel de integración, aseguramiento del proceso y seguridad general que hoy en día se requiere. La seguridad de la información adopta una perspectiva más amplia, según la cual el contenido, la información y el conocimiento en el que se basa tienen que contar con una protección adecuada, sin importar cómo se maneja, procesa, transporta o almacena. La seguridad de TI trata la seguridad de la tecnología y, por lo general, se maneja desde el nivel del director de información (CIO). La seguridad de la información abarca la totalidad de riesgos, beneficios y procesos que están relacionados con la información y debe ser impulsa da por la dirección ejecutiva y respaldada por el consejo de dirección. El avance incesante de la tecnología de información y la incomparable capacidad para acceder, manipular y utilizar la información han aportado enormes beneficios y oportunidades a l a economía global. Asimismo, ha traído nuevos riesgos sin precedentes y un desconcertante mosaico de leyes y regulaciones tanto vigentes como en espe ra de aprobación. La dirección ejecutiva se enfrenta cada vez más a la necesidad de seguir siendo competitiva en la economía global y presta atención a la promesa de obtener ganancias indefinidamente si se utilizan aún más recursos de información. Sin embargo, incluso a medida que esas organizaciones cosechan tales ganancias, los espectros que siempre van de la mano, por un lado la creciente dependencia de la información y los sistemas que la soportan y por el otro, los constantes riesgos que se derivan de una gran variedad de amenazas, obligan a la gerencia a tomar decisiones difíciles sobre cómo tratar la seguridad de la información con efectividad. Además, un gran número de leyes y regulaciones nuevas y vigentes exigen cada vez más el cumplimiento y mayores niveles de responsabilidad. El gobierno de la seguridad de la información es responsabilidad tanto del consejo de dirección como de la dirección ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa. Consta del liderazgo, las estructuras organizacionales y los procesos que salvaguardan la información.
1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN Desde la perspectiva de una organización, el gobierno de la seguridad de la información es cada vez más crítico a medida que crece la dependencia de la información. El juicio de un hombre no puede ser mejor que la información en la cual ha basado dicho juicio. La información definida como "datos dotados de significado y propósito" es la esencia del conocimiento. El conocimiento, a su vez, se capta, transporta y almacena como información organizada. Para la mayoría de las organizaciones, la información y el conocimiento en el que ésta basa se han vuelto uno de sus activos cada vez más importantes sin los cuales sería imposible dirigir el negocio. Los sistemas y procesos que manejan esta información se han vuelto verdaderamente penetrantes en todas las organizaciones de negocio y gubernamentales del mundo entero. Esta creciente dependencia de las organizaciones de su información y los sistemas que la manejan, junto con los riesgos, beneficios y oportunidad que representan dichos recursos, han hecho del go bierno de la seguridad de la información un aspecto cada vez más crucial del gobierno en su conjunto. Además de tratar los requerimientos legales y regulatorios, un gobierno efectivo de la seguridad de la información es, simplemente, un buen negocio. Las gerencias prudentes han llegado a entender que ofrece una serie de beneficios significativos, entre los que se encuentran:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Tratar la creciente posibilidad de que la organización y su alta dirección se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la información o la ausencia del debido cuidado para protegerla. Brindar confianza en el cumplimiento de la s políticas. Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables. Proveer la estructura y el marco para optimizar las asignaciones de los limitados recursos de seguridad. Proveer un nivel de certeza de que las decisiones críticas no se basan en i nformación defectuosa. Proporcionar un fundamento sólido para tener una gestión de riesgos y una mejora de procesos eficientes y eficaces, así como una respuesta rápida a incidentes. Brindar una mayor confianza en las interacciones con socios comerciales. Mejorar la confianza en las relaciones con los clientes. Proteger la reputación de la organización. Permitir nuevas y mejores formas de procesar las transacciones electrónicas. Establecer la responsabilidad para proteger la información durante actividades críticas de negocio, tales como fusiones y adquisiciones, recuperación del proceso de negocio y respuestas regulatorias.
Por último, dado que la nueva tecnología de información brinda la posibilidad de una mejora radical en el desempeño del negocio, una seguridad efectiva de la información puede añadir un valor significativo a la organización al reducir las pérdidas derivadas de incidentes que estén relacionados co n la seguridad y brindar la co nfianza de que tales incidentes y las violaciones a la seguridad no son catastróficos. Además, algunas pruebas demuestran que una mejor percepción en el mercado resulta en un mayor valor por acción.
1.4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN El gobierno de la seguridad de la información incluye los elementos que se requieren para brindar a la alta dirección la certeza de que su dirección y empeño se reflejan en la postura de seguridad de la organización al utilizar un enfoque estructurado para implementar un programa de seguridad. Una vez que se cuenta con dichos elementos, la alta dirección puede tener la confianza de que una seguridad de la información adecuada y efectiva protegerá los activos de información de la organización que son fundamentales. El objetivo de la seguridad de la información es desarrollar, implementar y gestionar un programa de seguridad que alcance los siguientes seis resultados básicos de un gobierno efectivo de seguridad: 1)
Alineación estratégica—Alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales, tales como: Requerimientos de seguridad dirigidos por requerimientos de una empresa ampliamente desarrollados para dar una orientación sobre lo que debe hacerse y una medida sobre cuando se ha alcanzado. Ajuste de las soluciones de seguridad a los procesos de la empresa que toman en cuenta la cultura, el estilo de gobierno, la tecnología y la estructura de la organización. Inversión en seguridad de la información que sea congruente con la estrategia de la empresa y un perfil bien definido de amenaza, vulnerabilidad y riesgo. Gestión de riesgos—Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable, tales como: Entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la organización. Entendimiento de la exposición al riesgo y l as posibles consecuencias de la inestabilidad. Conciencia de las prioridades de la gestión de r iesgos con base en las posibles consecuencias. Suficiente mitigación de riesgos para obtener consecuencias aceptables del riesgo residual. Aceptación/transferencia del riesgo a partir de un entendimiento de las posibles consecuencias del riesgo residual.
2)
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información 3)
Entrega de valor—Optimizar las inversiones en la seguridad en apoyo a los objetivos del negocio, tales como: Un conjunto estándar de prácticas de seguridad, es decir, requerimientos mínimos de seguridad posteriores a prácticas adecuadas y suficientes que sean proporcionales al ri esgo y al impacto potencial. Un esfuerzo debidamente priorizado y distribuido en áreas de mayor impacto y beneficio para el negocio. Soluciones institucionalizadas y de uso general basadas en estándares. Soluciones completas que abarquen a la organización, el proceso y la tecnología con base en un e ntendimiento del negocio completo de una organización. Una cultura de mejora continua basada en el entendimiento de que la seguridad es un proceso, no un incidente. Gestión de recursos—Utilizar el conocimiento y la infraestructura de seguridad de la información con eficiencia y efectividad para: Asegurar que los conocimientos sean captados y están disponibles. Documentar los procesos y las prácticas de seguri dad. Desarrollar arquitectura(s) de seguridad para definir y utilizar los recursos de la infraestructura de manera eficiente. Medición del desempeño—Monitorear y reportar procesos de seguridad de la información para garantizar que se alcancen los objetivos, entre otros: Un conjunto de medidas definidas, acordadas y significativas debidamente alineadas con los objetivos estratégicos y que proporcionan la información necesaria para tomar decisiones efectivas en los niveles estratégicos, gerenciales y operativos Un proceso de medición que ayude a identificar deficiencias y proporcionar retroalimentación sobre los avances hechos para resolver los problemas. Aseguramiento independiente proporcionado por evaluaciones y auditorias externas. Integración—Integrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo con lo planeado de principio a fin: Determinar todas las funciones organizacionales de aseguramiento. Desarrollar relaciones formales con otras funciones de aseguramiento. Coordinar todas las funciones de aseguramiento para una seguridad más completa. Verificar que coincidan los roles y las responsabilidades entre las áreas de aseguramiento. Emplear un enfoque de sistemas para planificación, implementación y gestión de seguridad de la in formación.
4)
5)
6)
1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIÓN El gobierno de la seguridad de la información es responsabilidad tanto del consejo de dirección como de la dirección ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa, y debe complementar o incluir el marco de gobierno de TI. Aun cuando la dirección ejecutiva es responsable de considerar y responder a estos temas, se espera cada vez con mayor frecuencia que el consejo de dirección incluya a la seguridad de la información como un elemento intrínseco del gobierno, integrado a los procesos con los que cuentan para gobernar otros recursos críticos de la organización. Tal como se establece en el Modelo de negocios de seguridad de la Información (Business Model for Information Security, BMIS) (ver sección 1.5.5), "Ya no basta con comunicarle a todas las partes interesadas por qué existimos [la organización] y qué es lo que constituye el éxito; debemos comunicar también cómo vamos a proteger nuestra existencia". Esto indica que una estrategia organizacional clara de preservación tiene igual importancia que una estrategia para el progreso y deben ir de la mano. Gobernar para la seguridad de una empresa significa ver una seguridad adecuada como un requerimiento no negociable para estar en el negocio. Si la gerencia de una organización, incluyendo los consejos de dirección, la alta dirección y
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información todos los gerentes, no establece y refuerza la necesidad del negocio de contar con seguridad efectiva para la empresa, el estado de seguridad deseado de la organización no se articulará, logrará ni sostendrá. Para lograr una capacidad sustentable, las organizaciones deben hacer que la seguridad de la empresa sea responsabilidad de los líderes a un nivel de gobierno, no de otros roles de la organización que no tienen autoridad, responsabilidad ni recursos para actuar o exigir el cumplimiento. Además de proteger los activos de información, es preciso contar con un gobierno efectivo de seguridad de la información para atender los requerimientos legales y regulatorios, lo cual se está volviendo obligatorio en la aplicación del debido cuidado. Desde cualquier perspectiva, debe considerarse sencillamente como un buen negocio.
1.5.1 METAS Y OBJETIVOS DEL NEGOCIO El gobierno corporativo es el conjunto de responsabilidades y prácticas, ejercidas por el consejo de dirección y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logran los objetivos, determinar que los riesgos se administran en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad. La dirección estratégica del negocio será definida por las metas y los objetivos de negocio. La seguridad de la información debe apoyar las actividades de negocio para que sea de valor para la organización. El gobierno de la seguridad de la información es un subconjunto del gobierno corporativo que proporciona una dirección estratégica a las actividades de la seguridad y garantiza que se alcancen los objetivos. Garantiza que los riesgos de seguridad de la información sean gestionados de manera apropiada y que los recursos de información de la empresa se usen con responsabilidad. Para lograr un gobierno efectivo de la seguridad de la información, la gerencia debe establecer y mantener un marco para guiar el desarrollo y la gestión de un programa completo de seguridad de la información que apoye los objetivos de negocio. Por lo general, el marco de gobierno constará de lo siguiente: 1. 2. 3. 4. 5.
Una estrategia integral de seguridad que esté vinculada de manera intrínseca con los objetivos de negocio. Políticas de gobierno de seguridad vigentes que traten cada aspecto relacionado con la estrategia, los controles y la regulación. Un conjunto completo de estándares para cada política que garantice que los procedimientos y directrices cumplan con dicha política. Una estructura organizacional efectiva de seguridad libre de conflictos de interés que tenga autoridad suficiente y recursos adecuados. Métricas y procesos de monitoreo institucionalizados que garanticen el cumplimiento, proporcionen retroalimentación sobre la efectividad y suministren la información básica apropiada para la toma de decisiones gerenciales.
Este marco, a su vez, establece la base para desarrollar un programa rentable de seguridad de la información que apoye las metas de negocio de la organización. En la unidad 3, “Desarrollo de un programa de seguridad de la información”, se explica cómo implementar un programa de seguridad. El objetivo del programa es un conjunto de actividades que proveen garantía de que a los activos de información se les da un nivel de protección acorde con su valor o con el riesgo que su inestabilidad representaría para la organización. Las relaciones entre el gobierno de la empresa, gestión de riesgos, seguridad TI, seguridad de la información, controles, arquitectura y los demás componentes de un marco de gobierno se representan en la Figura 1.2 (Ver Presentación PPT).
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIÓN Consejo de Dirección/Alta Dirección El gobierno de la seguridad de la información requiere de dirección estratégica y de ímpetu. Requiere de compromiso, recursos y asignar responsabilidades para la gestión de la seguridad de la información, así como un medio para que el consejo de dirección determine que se ha cumplido su propósito. Sólo es posible lograr un gobierno efectivo de seguridad de la información mediante la participación de la alta dirección en la aprobación de las políticas y de monitoreo y las métricas apropiadas, junto con la presentación de información y análisis de tendencias. Los miembros del consejo de dirección deben tener conocimiento de los activos de información de la organización y su criticidad para las operaciones de negocio continuas. Esto puede lograrse al proporcionarle al consejo de manera periódica resultados de alto nivel de las evaluaciones integrales de riesgo y análisis de impacto al negocio (BIA). También se puede lograr mediante evaluaciones de los recursos de información respecto de la dependencia del negocio. Un resultado de estas actividades debe de incluir que los miembros del consejo validen/ratifiquen los activos clave que quieren proteger y que los niveles de protección y las prioridades sean adecuados a un estándar de debido cuidado. La actitud de la gerencia debe conducir a un gobierno efectivo de la seguridad. No es razonable esperar que el personal de nivel más bajo acate las medidas de seguridad si éstas no son ejercidas por la alta dirección. El endoso de los requerimientos intrínsecos de seguridad por parte de la dirección ejecutiva provee la base para asegurar que las expectativas de seguridad se cumplan a todos los niveles de la empresa. Las penalizaciones por incumplimiento deben ser definidas, comunicadas y ejecutadas desde el nivel del consejo de dirección hacia bajo.
Dirección Ejecutiva Implementar un gobierno efectivo de seguridad de la información y definir los objetivos estratégicos de la seguridad de una organización puede ser una tarea ardua y compleja. Como con cualquier otra iniciativa importante, debe contar con liderazgo y el apoyo continuo de la dirección ejecutiva para tener éxito. Para desarrollar una estrategia efectiva de seguridad de la información se requiere la integración y la cooperación de los dueños del proceso de negocio. Un resultado exitoso es la alineación de las actividades de seguridad de la información con los objetivos de negocio. El grado al cual esto se logre determinará la rentabilidad del programa de seguridad de la información para alcanzar el objetivo deseado de brindar un nivel predecible y definido de aseguramiento para los procesos de negocio y un nivel aceptable del impacto que pueden tener los incidentes adversos.
Comité Directivo Hasta cierto grado, la seguridad afecta todos los aspectos de una organización. Para que sea efectiva, debe extenderse a toda la empresa. A fin de garantizar la participación de todas las partes interesadas que se vean afectadas por las consideraciones de seguridad, muchas organizaciones recurren a un comité directivo constituido por los principales representantes de los grupos afectados. Ello facilita llegar a un consenso sobre las prioridades, ventajas y desventajas. También sirve como un canal efectivo de comunicaciones y provee una base continua para asegurar la alineación del programa de seguridad con los objetivos de negocio. También puede ser fundamental para alcanzar la modificación del comportamiento hacia una cultura más conducente a una seguridad adecuada.
CISO Todas las organizaciones tienen un director de seguridad de la información (CISO), independientemente de que alguien posea ese título o no. Puede ser el CIO, oficial de seguridad (CSO- Chief Security Officer), oficial de finanzas (CFO-Chief Financial Officer) o en algunos casos, el oficial ejecutivo principal (CEO-Chief Executive Officer). El alcance y la amplitud de la seguridad de la información hoy en día es tal que la autoridad requerida y la responsabilidad asumida recaerán inevitablemente en un responsable de mando intermedio o director ejecutivo. La responsabilidad legal se extenderá, por defecto, hasta la estructura de comando y, en última instancia, residirá en la alta dirección y el consejo de dirección. El no reconocer esto e implementar estructuras de gobierno inapropiadas puede ocasionar que la alta dirección no tenga conocimiento de esta responsabilidad y de la responsabilidad concomitante. También suele resultar en una falta de alineación efectiva de los objetivos o rganizacionales con las actividades de seguridad.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Es cada vez más frecuente ver que las gerencias prudentes están ascendiendo el puesto de oficial de seguridad de la información a un puesto de mando intermedio o ejecutivo, ya que las organizaciones empiezan a darse cuenta de que dependen de la información y de las crecientes amenazas a las que está expuesta. Asegurar que el puesto exista, junto con la responsabilidad, la autoridad y los recursos requeridos, demuestra la conciencia y el compromiso que tienen tanto la gerencia como el consejo de dirección de un gobierno de la seguridad de la información sólido. Las responsabilidades y las facultades de los gerentes de seguridad de la información varían mucho entre una organización y otra, aun cuando se están incrementando en todo el mundo. Esto puede deberse a que existe una mayor conciencia sobre la importancia de este función motivada por el número cada vez mayor de fallos aparatosos en la seguridad y las crecientes pérdidas que resultan. Actualmente estas responsabilidades van desde el CISO o el vicepresidente de seguridad, quien reporta al CEO, hasta los administradores de sistemas que tienen una responsabilidad de dedicación parcial por la gestión de la seguridad, quienes podrían reportar al Gerente de TI o al CIO.
1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES La relación que existe entre los resultados de un gobierno efectivo de seguridad y las responsabilidades de la gerencia se muestra en la Figura 1.3 (Ver presentación PPT). No pretende ser exhaustiva sino indicar meramente algunos niveles gerenciales y las tareas principales que son responsabilidad de la gerencia.
1.5.4 GOBIERNO, GESTIÓN DE RIESGOS Y CUMPLIMIENTO Gobierno, gestión de riesgos y cumplimiento (GRC) es un ejemplo del creciente reconocimiento de la necesidad de convergencia, o integración del proceso de aseguramie nto, como se explica en la sección 1.9.8. GRC es un término cada vez más reconocido que refleja un enfoque que las organizaciones pueden adoptar a fin de integrar estas tres áreas. Aunque con frecuencia se hace referencia al GRC como una actividad de negocio individual, este incluye múltiples actividades superpuestas y relacionadas dentro de una organización, las cuales pueden incluir auditoría interna, programas de cumplimiento tales como SOX, gestión de riesgos empresariales (ERM), riesgo operativo, gestión de incidentes y otras. Gobierno, como se explicó anteriormente, es responsabilidad de la alta dirección ejecutiva y se concentra en crear los mecanismos que una organización utiliza para garantizar que el personal siga políticas y procesos establecidos. Gestión de riesgos es el proceso que sigue una organización para establecer la tolerancia a riesgos, identificar riesgos potenciales y sus impactos asociados, y priorizar la mitigación de estos basándose en los objetivos de negocio y la tolerancia a riesgos de la organización. La gestión de riesgos desarrolla e implementa controles internos para gestionar y mitigar riesgos en toda la organización. Cumplimiento es el proceso que registra y monitorea las políticas, los procedimientos y los controles necesarios para garantizar que las políticas y los e stándares se adhieran a él. Es importante reconocer que la integración efectiva de procesos de GRC requiere que el gobierno esté implementado para poder gestionar los riesgos efectivamente y exigir cumplimiento. Inicialmente, GRC se desarrolló en respuesta a la Ley Sarbanes- Oxley de EUA, pero ha evolucionado como un enfoque para gestión de riesgos empresariales. Si bien un programa de GRC se puede usar en cualquier área de una organización, suele enfocarse en las áreas financiera, de TI y legal. El GRC financiero se usa para garantizar el correcto funcionamiento de procesos financieros y el cumplimiento de requerimientos regulatorios. De modo similar, el GRC de TI busca garantizar el correcto funcionamiento y el cumplimiento de políticas de procesos de TI. El GRC legal puede concentrarse en el cumplimiento regulatorio general. Existe cierto desacuerdo sobre cómo se definen estos aspectos de GRC, pero generalmente incluye las siguientes áreas:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • •
GRC de finanzas y auditoría Gestión de GRC de TI Gestión de riesgos empresariales.
También se puede subdividir el mercado de GRC de TI en las siguientes capacidades clave (aunque la siguiente lista se relaciona con GRC de TI, una lista similar de capacidades funcionar ía para otras áreas de GRC): • • • • • • • •
Biblioteca de políticas y controles Distribución y respuesta de políticas Autoevaluación y medición de controles (CSA) de TI Repositorio de activos de TI Recopilación automatizada de control de computadoras general (GCC) Gestión de correcciones y excepciones Reporte Evaluación avanzada de riesgos de TI y tableros de cumplimiento
1.5.5 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA INFORMACIÓN El Modelo de negocio de seguridad de la información (BMIS, Business Model for Information Security) usa un enfoque orientado al negocio para gestionar la seguridad de la información. El modelo utiliza el pensamiento sistémico con el propósito de aclarar relaciones complejas dentro de la empresa y, por ende, gestionar la seguridad más efectivamente. Los elementos y las interconexiones dinámicas que conforman la base del modelo establecen los límites de un programa de seguridad de la información y configuran cómo el programa funciona y reacciona al cambio interno y externo. El BMIS proporciona el contexto para marcos tales como Control Objectives for Information and related Technology (COBIT®) Como se ilustra en la Figura 1.4 (Ver presentación PPT), el modelo se ve mejor como una estructura tridimensional flexible en forma de pirámide, compuesta de cuatro elementos unidos por seis interconexiones dinámicas. Todos los aspectos del modelo interactúan entre sí. Si una de las partes del modelo es modificada, no es considerada o no es gestionada adecuadamente, es posible que el equilibrio del modelo esté en riesgo. Las interconexiones dinámicas actúan como elementos de tensión, ejerciendo una fuerza de empuje/tracción en respuesta a cambios en la empresa, lo que permite que el modelo se adapte según las necesidades. Los cuatro elementos del modelo son: 1. Diseño y estrategia de la organización—Una organización es una red de personas, activos y procesos interactuando entre sí con roles definidos y trabajando para alcanzar una meta común. La estrategia de la empresa especifica sus metas de negocio y los objetivos que se deben alcanzar, así como los valores y las misiones que se deben perseguir. Es la fórmula de la empresa para el éxito y establece su dirección básica. La estrategia se debe adaptar a los factores internos y externos. Los recursos constituyen el principal material para diseñar la estrategia y pueden ser de diferentes tipos (personas, equipos, conocimientos técnicos). El diseño define la manera en que la organización implementa su estrategia. Los procesos, la cultura y la arquitectura son importantes para determinar el diseño. 2. Personas—Los recursos humanos y los aspectos de seguridad que los rodean. Define quién implementa (siguiendo el diseño) cada parte de la estrategia. Representa un colectivo humano y debe tener en cuenta valores, comportamientos y tendencias. Internamente, es fundamental que el gerente de seguridad de la información trabaje con los departamentos de recursos humanos y legal para resolver asuntos tales como: •
Estrategias de reclutamiento (acceso, responsabilidades)
verificaciones de antecedentes,
entrevistas,
roles y
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • •
Aspectos relacionados con el empleo (ubicación de la oficina, acceso a herramientas y datos, capacitación y concienciación, movimiento dentro de la empresa) Término de relaciones laborales (razones de la desvinculación, momento de la salida, roles y responsabilidades, acceso a los sistemas, acceso a otros empleados)
Externamente, los clientes, los proveedores, los medios y las partes interesadas, entre otros, pueden tener una fuerte influencia sobre la empresa y se deben considerar dentro de la postura de seguridad. 3. Procesos—Incluye mecanismos formales e informales (grandes y pequeños, simples y complejos) para realizar las tareas y proporciona un vínculo vital con todas las interconexiones dinámicas. Los procesos identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, además de asegurar la responsabilidad. Son resultado de la estrategia e implementan la parte operacional del elemento organización. Para que sean beneficiosos para la empresa, los pro cesos deben: • • • •
Satisfacer los requerimientos del negocio y estar alineados con la política Considerar situaciones emergentes y adaptarse a requerimientos cambiantes Estar documentados y ser comunicados de forma adecuada a los recursos humanos apropiados Ser revisados periódicamente, una vez establecidos, para asegurar su eficiencia y eficacia
4. Tecnología—Conformada por todas las herramientas, aplicaciones y la infraestructura que incrementan la eficiencia de los procesos. Como elemento en evolución que experimenta cambios frecuentes, tiene sus propios riesgos dinámico s. Dada la típica dependencia de la tecnología que exhiben las organizaciones, la tecnología constituye una parte esencial de la infraestructura de la empresa y un factor crítico para alcanzar su misión. La tecnología suele ser considerada por el equipo gerencial de la empresa como un instrumento para resolver las amenazas y los riesgos de seguridad. Aunque los controles técnicos son útiles para mitigar ciertos tipos de riesgos, la tecnología no se debe ver como una solución d e seguridad de la información. Los usuarios y la cultura de la organización tienen una gran influencia sobre la tecnología. Algunas personas aún desconfían de la tecnología; algunas no han aprendido a usarla; y otras sienten que no les permite avanzar a la velocidad que desean. Independientemente de la razón, los gerentes de seguridad de la información deben estar conscientes de que muchas personas intentarán burlar los controles técnicos.
Interconexiones Dinámicas Las interconexiones dinámicas enlazan los elementos y ejercen una fuerza multidireccional que empuja y atrae a medida que cambian las situaciones. Las acciones y los comportamientos que tienen lugar en las interconexiones dinámicas pueden romper el equilibrio del modelo o hacer que éste recupere la estabilidad. Las seis interconexiones dinámicas son: 1. Gobierno (governance)— Da dirección a la empresa y exige liderazgo estratégico. El gobierno establece los límites dentro de los cuales opera una empresa, se implementa dentro de los procesos para monitorear el rendimiento, describe las actividades y vela por el cumplimiento de los controles y regulaciones, al tiempo que proporciona adaptabilidad a condiciones emergentes. El gobierno se encarga de asegurar que se determinen y definan los objetivos, de garantizar que los riesgos se gestionen adecuadamente y de verificar que los recursos de l a empresa se utilicen con responsabilidad. 2. Cultura— Un patrón de conductas, convicciones, supuestos, actitudes y maneras de hacer las cosas. Es emergente y aprendida, y crea un sentido de comodidad. La cultura evoluciona como un tipo de historia compartida a medida que un grupo avanza a través de un conjunto de experiencias comunes. Esas experiencias similares causan ciertas respuestas, que se convierten en un conjunto de
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información comportamientos esperados y compartidos. Estos comportamientos se transforman en reglas no escritas, que a su vez se convierten en estándares que son compartidos por todas las personas que tienen esa historia común. Es importante entender la cultura de la empresa porque ésta determina en gran medida cuál información se considera, cómo se interpreta esa información y qué se hará c on ella. La cultura puede existir en muchos niveles, tales como el nacional (legislación/regulaciones, política y tradiciones), el organizacional (políticas, estilo jerárquico y expectativas) y el social (familia, etiqueta). Se crea con factores externos e internos, y recibe influencia de, e influye en, los patrones organizacionales. 3. Habilitación y soporte— Interconexión dinámica que conecta el elemento tecnología al elemento proceso. Una manera de ayudar a asegurar que las personas cumplan con las medidas, políticas y procedimientos técnicos de seguridad es hacer que los procesos sean prácticos y fáciles de usar. La transparencia puede ayudar a generar aceptación con respecto a los controles de seguridad al asegurar a los usuarios que la seguridad no limitará su capacidad para trabajar eficientemente. Muchas de las acciones que afectan tanto a la tecnología como a los procesos ocurren en la interconexión dinámica de habilitación y soporte. Las políticas, los estándares y las directrices deben estar diseñados para soportar las necesidades del negocio al reducir o eliminar los conflictos de interés, deben mantenerse flexibles para apoyar los cambiantes objetivos del negocio y deben ser aceptables y fáciles de seguir. 4. Surgimiento— Connota afloramiento, desarrollo, crecimiento y evolución, y se refiere a los patrones que surgen en la vida de la empresa que parecen no tener una causa obvia y cuyos resultados parecen imposibles de predecir y controlar. La interconexión dinámica surgimiento (entre personas y procesos) es un espacio para introducir posible soluciones, como por ejemplo bucles de retroalimentación; alineación con el mejoramiento de los procesos; y consideración de los problemas emergentes en el ciclo de vida del diseño del sistema, el control de cambios y la gestión de riesgos. 5. Factores humanos—Representa la interacción y la brecha entre la tecnología y la gente y, como tal, es primordial para un programa de seguridad de la información. Si las personas no entienden cómo utilizar la tecnología, no aceptan la tecnología o no siguen las políticas pertinentes, pueden surgir graves problemas de seguridad. Las amenazas internas, como la fuga de datos, el robo de datos y el uso indebido de los datos pueden ocurrir dentro de esta interconexión dinámica. Los factores humanos pueden presentarse debido a la edad, el nivel de experiencia y/o las experiencias culturales. Dado que los factores humanos son críticos para mantener el balance dentro del modelo, es importante que todos los recursos humanos de la empresa reciban capacitación sobre las habilidades pertinentes. 6. Arquitectura— Una encapsulación completa y formal de las personas, los procesos, las políticas y la tecnología que conforman las prácticas de seguridad de una empresa. Una arquitectura robusta de información del negocio es esencial para entender la necesidad de seguridad y diseñar la arquitectura de seguridad. Dentro de la interconexión dinámica arquitectura es donde la empresa puede asegurar la defensa en profundidad. El diseño describe cómo se posicionan los controles de seguridad y cómo se relacionan con la arquitectura general de TI. Una arquitectura de seguridad empresarial facilita las capacidades de seguridad entre las líneas de negocios de una manera consistente y con una adecuada relación costo-efectividad, al tiempo que permite a las empresas ser proactivas con sus decisiones de inversión en seguridad.
1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIÓN Existen varios conceptos básicos que se espera que el gerente de seguridad de la información conozca a fondo para implementar un gobierno efectivo de seguridad y realice otras tareas que se requieran. Aun cuando no se requiere de un conocimiento detallado de las tecnologías de seguridad fundamentales en términos de funciones gerenciales, es necesario conocer los usos, beneficios y limitaciones de dichas tecnologías.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Entre los principales conceptos de seguridad que el gerente de seguridad de la información debe conocer a profundidad para este capítulo se encuentran, sin estar limitados , los siguientes:
Control de acceso—Los procesos, reglas y mecanismos de implementación que controlan el acceso a sistemas de información, recursos y acceso físico a instalaciones Arquitectura—Diseño de la estructura y las relaciones de sus elementos. Ataques —Tipos y naturaleza de inestabilidades en la seguridad. Auditabilidad—Nivel en el cual se puede hacer seguimiento a transacciones y auditarlas a trav és de un sistema Autenticación—Acto de verificar la identidad y elegibilidad de un usuario para tener acceso a información computarizada Autorización—Acceso permitido a recursos para realizar acciones aprobadas Disponibilidad—Capacidad de tener acceso a y de ut ilizar la información cuando se requiera. Análisis de dependencia del negocio—Grado al cual el negocio depende de un recur so. Análisis de impacto al negocio—Evaluar los resultados y las consecuencias de la i nestabilidad. Confidencialidad—La protección de información privada o sensible contra divulgación no autorizada. Controles—Cualquier acción o proceso que se utiliza para mitigar el riesgo. Contramedidas—Cualquier acción o proceso que reduce la vulnerabilidad. Criticidad—Importancia que tiene un recurso para el negocio. Clasificación de datos—el proceso de determinar la sensibilidad y criticidad de la información. Exposiciones—Áreas que son vulnerables a impacto por parte de una amenaza. Análisis preferencial—Diferencia entre la realidad y el objetivo. Gobierno—Proporcionar control y dirección a las actividades. Identificación—Verificación de una persona o cosa; reconocimiento. Impacto—Resultados y consecuencias de que se materialice un riesgo. Integridad—Exactitud, integridad y validez de la información. Seguridad en capas—Defensa en profundidad que contenga la inestabilidad. Gestión—Supervisar las actividades para garantizar que se alcancen los objetivos. No repudio—Certeza de que una parte no podrá negar posteriormente los datos originados; se trata de dar pruebas de la integridad y el orig en de los datos y de que puedan ser verificadas por un tercero Políticas—Declaración de alto nivel sobre la intención y la dirección de la gerencia. Riesgo residual—Riesgo que permanece después de que se han implementado contramedidas y controles. Riesgo—Probabilidad de la explotación de una vulnerabilidad por parte de una amenaza. Métricas de seguridad—Descripciones específicas de cómo se harán las mediciones de una evaluación cuantitativa y periódica de desempeño de seguridad Sensibilidad—Nivel de impacto que tendría una divulgación no autorizada. Estándares—Establecer los límites permisibles de acciones y procesos para cumplir con la política. Estrategia—Pasos que se requieren para alcanzar un objetivo. Amenazas—Cualquier acción o evento que puede ocasionar consecuencias adversas. Vulnerabilidades—Deficiencias que pueden ser explotadas por amenazas. Arquitectura empresarial—La lógica organizativa para los procesos de negocio y la infraestructura de TI Dominios de seguridad—Áreas lógicas delimitadas por diferentes niveles de seguridad Modelos de confianza—Asignan los controles y las funciones de seguridad a diferentes niveles de seguridad
1.6.1 TECNOLOGÍAS Existe una variedad de tecnologías de seguridad de las cuales es importante que el gerente de seguridad de la información tenga un conocimiento conceptual profundo. Algunos de éstos incluyen:
Cortafuegos (firewalls) Administración de cuentas de usuarios Detección y prevención de intrusos
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Antivirus Antispam Infraestructura de clave pública (PKI) Capa de conector seguro (SSL) Inicio único de sesión (single sign-on) (SSO) Biometría Encriptación Cumplimiento de privacidad Acceso remoto Firma digital Intercambio de datos electrónico (EDI-electronic data interchange) transferencia electrónica de fondos (EFT- electronic fonds transfer) Redes Privadas Virtuales (VPNs) Transferencia Electrónica Segura (SET) Forense Tecnologías de monitoreo Gestión de identidad y acceso (IAM) Gestión de información y eventos del sist ema (SIEM)
Las tecnologías y los procesos son algunos de los recursos utilizados para desarrollar una estrategia de seguridad efectiva. Es esencial una buena comprensión de ambos aspectos para desarrollar una estrategia de seguridad que respaldará los objetivos generales de la organización y alcanzará los resultados esperados.
1.7 GERENTE DE SEGURIDAD DE LA INFORMACIÓN En la década pasada casi todas las organizaciones crearon un puesto de gerente de seguridad de la información a algún nivel de la organización. La mayoría ha creado también departamentos centrales de seguridad de la información con el fin de resolver la creciente complejidad de proteger no sólo los sistemas de TI sino toda la información sensible y crítica que de cualquier forma se procesa.
1.7.1 RESPONSABILIDADES Las estructuras jerárquicas de los departamentos de la s eguridad de la información son sumamente variables. Alrededor del 26% de los CISO tienen una línea de dependencia al CIO en tanto que alrededor del 21% l e reportan al CEO, tal como se muestra en la Figura 1.5 (Ver presentación PPT). Aun cuando el nivel de jerarquía para los funcionarios encargados de la seguridad de la información continúa mejorando, un porcentaje significativo de ellos sigue teniendo una línea de dependencia al CIO. Aun cuando esto es adecuado en términos funcionales, cada vez es más frecuente que se considere una situación poco óptima. Existen muchas razones para ello. Una es que los requerimientos cada vez más extensos de seguridad de la información superan el ámbito del CIO tradicional. Otra razón es el inherente conflicto de intereses. La seguridad es en gran medida una función regulatoria, mientras TI es un departamento de operaciones. A menudo la seguridad de la información se percibe como una limitación para las operaciones de TI en sus esfuerzos por garantizar que las operaciones sean seguras. Los CIOs y sus departamentos de TI suelen estar bajo presión para incrementar el desempeño y reducir los costos, y la seguridad con frecuencia es la víctima de estas presiones. Por último, debe considerarse que para que la seguridad de la información sea efectiva, la seguridad tiene que estar más alineada con el negocio que con la tecnología. La tecnología es una herramienta para llevar a cabo negocios, no un fin en sí misma.
1.7.2 COMPROMISO DE LA ALTA DIRECCIÓN Tal como ocurre con las iniciativas de la organización, si no se cuenta con el compromiso y el patrocinio de la alta dirección, es muy poco probable que las actividades de seguridad de la información de la empresa tengan éxito. La seguridad de la información abarca hasta cierto grado cada división y departamento de la compañía. Una iniciativa que
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información afecte a demasiadas personas y a demasiados procesos de negocio difícilmente será exitosa si no cuenta con el patrocinio y el compromiso de la alta dirección. Es fundamental que la alta dirección perciba la seguridad como un tema crítico y destine a ella los recursos apropiados. Una vez que el gerente de seguridad de la información haya desarrollado la estrategia de seguridad con la colaboración de unidades clave del negocio, se debe obtener la aprobación de la estrategia por parte de la alta dirección. En virtud de que esto es típicamente un tema complicado, el gerente de seguridad de la información necesitará primero informar a los altos directivos sobre los aspectos de alto nivel de seguridad de la información y presentar una estrategia integral para su revisión. Por lo general se hará una presentación a la alta dirección que describa los diversos aspectos de la estrategia de seguridad a fin de sustentar y explicar la documentación que presentó el gerente de seguridad de la información. Por desgracia, es cierto que en muchas organizaciones el verdadero valor de los sistemas de información no es evidente sino hasta que fracasan. La alta dirección estará en una mejor posición de apoyar las iniciativas de seguridad si tiene conocimiento de cuán críticos son los sistemas de TI para la operación continua de la empresa. Además, suele haber una confusión significativa acerca de cuáles regulaciones aplican a la organización. Será de ayuda proporcionar las generalidades acerca de las regulaciones pertinentes, requerimientos de cumplimiento y posibles sanciones si la organización está en incumplimiento. La alta dirección (directores miembros del consejo de dirección o equivalentes) deben tener un alto nivel de compromiso para: • • • •
Alcanzar altos niveles de gobierno corporativo. Tratar a la seguridad de la información como un tema crítico del negocio y crear un ambiente de seguridad positivo. Demostrar a terceros que la organización da un tratamiento profesional a la seguridad de la información. Aplicar principios fundamentales, tales como asumir responsabilidad total por la seguridad de la información, implementar controles que sean proporcionales al riesgo y alcanzar una responsabilidad individual.
La alta dirección debe demostrar su compromiso con la seguridad de la información al: • • • • •
Involucrarse directamente en acuerdos de seguridad de la información de alto nivel, tales como una política de seguridad de la información. Brindar un control de alto nivel. Asignar recursos suficientes a la seguridad de la información. Definir métricas y monitoreo de gobierno apropiados Revisar periódicamente la efectividad de la seguridad de la información
Cómo Obtener el Compromiso de la Alta Dirección Una presentación formal es la técnica de más amplio uso a la que pueden recurrir los gerentes de seguridad de la información para asegurar el compromiso y el patrocinio de la alta dirección ante las políticas, los estándares y la estrategia de la gerencia de seguridad de la información. La presentación formal a la alta dirección se utiliza como un medio para comunicar y sensibilizar sobre los aspectos clave del programa de seguridad en general. El gerente de seguridad de la información puede facilitar la aceptación al aplicar aspectos comunes de un caso de negocio (business case) durante el proceso de aceptación. A continuación se mencionan algunos de ellos:
Alinear los objetivos de seguridad con los objetivos de negocio para que la alta dirección comprenda y aplique las políticas y los procedimientos de seguridad. Identificar las posibles consecuencias de no alcanzar determinados objetivos relacionados con la seguridad y el cumplimiento regulatorio.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Identificar temas del presupuesto de tal forma que la alta dirección pueda cuantificar los costos del programa de seguridad. Utilizar modelos de riesgos/beneficios de proyectos comúnmente aceptados, tales como costo total de propiedad (TCO) o retorno sobre la inversión (ROI) para cuantificar los beneficios y los costos del programa de seguridad. Definir las medidas de auditoría y monitoreo que se incluirán en el programa de seguridad.
Asimismo, cabe hacer notar que, aun cuando la alta dirección apoye el programa de seguridad, también es fundamental que todos los empleados entiendan y acaten los parámetros de seguridad definidos y establecidos. Sin la aceptación de los empleados, es poco probable que el programa de seguridad de la información tenga éxito y alcance sus objetivos. Es muy importante que se vea que la alta dirección practica el gobierno de la seguridad. Por ejemplo, si se implementa un sistema de control de acceso físico en la organización, la alta dirección debe observar las mismas reglas y restricciones de acceso cuando éste se implemente.
Establecimiento de los Canales de Reporte y Comunicación Después de obtener el compromiso de la alta dirección, se debe establecer un canal apropiado de reporte y comunicación en la organización para asegurar la efectividad y eficiencia de todo el sistema de gobierno de seguridad de la información. Es importante entregar reportes formales periódicos al consejo de dirección/dirección ejecutiva para dar a conocer a la alta dirección el estado del gobierno de seguridad de la información. Periódicamente, se puede realizar una presentación personal bien organizada para la alta dirección, y puede incluir propietarios de procesos de negocio como usuarios clave del sistema. La presentación debe estar bien relacionada con presentaciones anteriores utilizadas para obtener respaldo y compromiso con el programa de seguridad y puede incluir:
El estado de la implementación del sistema basándose en l a estrategia aprobada La comparación de los resultados generales del BIA (antes y después de la implementación) Estadísticas de amenazas detectadas y evitadas como un medio pa ra demostrar valor Identificación de los enlaces de seguridad más débiles de la organización y las posibles consecuencias de la inestabilidad Análisis de datos de medición de rendimiento respaldados con evaluaciones independientes externas o informes de auditoría, de ser posible Tratar la alineación continua para objetivos de negocio críticos, procesos de operación o ambientes corporativos Requerir la aprobación de planes renovados, así como de asuntos relacionados con presupuesto
Además de las presentaciones formales, los canales de comunicación de rutina también son cruciales para el éxito del programa de seguridad de la información. Existen cuatro grupos que requieren diferentes métodos de comunicación que se deben considerar:
Alta dirección Asistir a reuniones de estrategia de negocio para tener mejor conocimiento y comprensión de las estrategias y los objetivos de negocio actualizados Reuniones bilaterales periódicas con la alta dirección para entender los objetivos de negocio desde su perspectiva Dueños del proceso de negocio Incorporarse a reuniones de revisión para descubrir los desafíos y requerimientos de las operaciones diarias y sus dependencias Iniciar reuniones bilaterales mensuales con diferentes dueños del proceso de negocio para obtener respaldo continuo en la implementación del gobierno de seguridad de la información y tratar temas individuales relacionados con la seguridad Otros grupos de dirección
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información -
Los gerentes de línea, los supervisores y los jefes de departamento encargados de diferentes funciones relacionadas con la seguridad y la gestión de riesgos, entre ellas el asegurar una adecuada concienciación sobre los requerimientos de seguridad y el cumplimiento de las políticas, deben ser informados de sus responsabilidades. Empleados Programas de capacitación y formación oportunos Programa interno y centralizado de capacitación para los nuevos empleados Material de formación organizacional sobre estrategias y políticas actualizadas Personal en capacidad de acceder a notificaciones por intranet o por correo electrónico para que tenga conocimiento de recordatorios periódicos o adaptaciones provisionales Respaldar a la alta gerencia y los dueños del proceso de negocio asignando un coordinador de gobierno de seguridad de la información en cada unidad funcional para obtener oportunamente retroalimentación precisa de las prácticas diarias
1.7.3 CONCIENCIACIÓN SOBRE PRESUPUESTO Un elemento básico del gobierno de una empresa incluye proyecciones e informes financieros. Para obtener y mantener el compromiso de la alta dirección con la propuesta de una estrategia de seguridad de la información, es importante que el gerente de seguridad de la información se familiarice con los procesos financieros y presupuestarios de la organización y que sea capaz de discutir el programa de seguridad de la información en términos financieros.
1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN La seguridad de la información trata todos los aspectos de la información, ya sea oral, escrita, impresa, electrónica o relegada a cualquier otro medio sin importar si ha sido creada, vista, transportada, almacenada o destruida. Esto contrasta con la seguridad de tecnologías de información, la cual trata con la seguridad de la información dentro de las fronteras del dominio de la tecnología. Por lo general, la información confidencial que se divulga durante una conversación en un elevador o se envía por correo estaría fuera del ámbito de la seguridad de TI. Sin embargo, desde una perspectiva de seguridad de la información, la naturaleza y el tipo de inestabilidad no son importantes, pero sí el hecho de que se ha violado la seguridad. En el contexto del gobierno de la seguridad de la información, es importante que la estrategia de seguridad de la información establezca claramente el alcance y las r esponsabilidades de seguridad de la información. Podemos identificar un conjunto básico de principios para ayudar a dirigir la implementación de un gobierno efectivo de seguridad de la información:
• • • • •
Los CEO deben asegurarse de que se lleve a cabo una evaluación anual de la seguridad de la información, deben revisar los resultados de la evaluación con el personal y presentar ante el consejo de dirección información sobre el desempeño. Las organizaciones deben llevar a cabo evaluaciones periódicas de riesgos con respecto a los activos de información como parte de un programa de gestión de riesgos. Las organizaciones deben implementar políticas y procedimientos basados en las evaluaciones de riesgos para proteger los activos de información. Las organizaciones deben establecer una estructura de gestión de la seguridad para asignar roles, deberes, facultades y responsabilidades individuales explícitas. Las organizaciones deben desarrollar planes y tomar acciones para brindar una seguridad de la información apropiada para las redes, equipos, sistemas e información. Las organizaciones deben tratar la seguridad de la información como una parte integral del ciclo vital del sistema.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • • •
Las organizaciones deben proporcionar concienciación, capacitación y formación en seguridad de la información al personal. Las organizaciones deben realizar pruebas y evaluaciones periódicas de la efectividad de las políticas y procedimientos de seguridad de la información. Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la información. Las organizaciones deben desarrollar e implementar procedimient os de respuestas a incidentes. Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las operaciones. Las organizaciones deben aplicar las mejores prácticas en seguridad, tales como ISO 17799, para medir el desempeño de la seguridad de la información.
1.8.1 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) Un concepto prometedor, motivado en gran medida por la creciente tendencia a segmentar la seguridad en áreas separadas pero relacionadas, se enfoca en la integración de los procesos de aseguramiento de una organización con respecto a la seguridad. Estas actividades suelen fragmentarse y segmentarse en silos que tienen diferentes estructuras jerárquicas. Tienden a utilizar diferente terminología y por lo general reflejan entendimientos disti ntos de sus procesos y resultados que, en ocasiones, tienen poco en común. Estos "silos" de aseguramiento pueden incluir la gestión de ri esgos, la administración de cambios, la auditoría interna y externa, las oficinas encargadas de la privacidad, las oficinas de seguros, las áreas de recursos humanos (RR.HH.), jurídico, entre otros. Evaluar los procesos de negocio de principio a fin (junto con sus controles), independientemente del proceso específico de aseguramiento del que se trate, puede mitigar la tendencia de que existan brechas en la seguri dad en las diversas áreas de aseguramiento. GRC, discutido anteriormente en la sección 1.5.4, es un reciente esfuerzo por tratar los problemas de integración entre las principales funciones de gobierno, la gestión de riesgos y el cumplimiento. El BMIS cubierto en la sección 1.5.5 es un esfuerzo actual por desarrollar un enfoque integrado total de la seguridad de la información utilizando un enfoque de sistemas.
Convergencia Durante décadas, se ha hecho patente que la división arbitraria de las actividades relacionadas con la seguridad en seguridad física, seguridad informática, gestión de riesgos, privacidad, cumplimiento, seguridad de la información, y otras disciplinas, no ha favorecido la obtención de resultados óptimos. Las consecuencias cada vez más desastrosas de los esfuerzos no integrados relacionados con la seguridad han ocasionado que los profesionales y la gerencia reconsideren cada vez más esta separación. Se está volviendo más común ver que los CISO son ascendidos a CSO para integrar mejor los principales elementos de la seguridad. Para muchas organizaciones la seguridad física se ha vuelto casi una rutina y se integra con mayor facilidad a la seguridad de la información que viceversa. Puesto que no es posible proporcionar seguridad de la información de manera efectiva sin una serie de consideraciones físicas, la evolución es natural. Es razonable esperar que la integración de muchas actividades relacionadas con la seguridad esté centrada en la seguridad de la información durante la década venidera. Como resultado, la integración de la seguridad física y de otras funciones de aseguramiento será, cada vez más, uno de los aspectos relevantes para la gestión. Los hallazgos derivados de las encuestas y entrevistas apuntan a un gran número de impulsores tanto internos como externos, o "imperativos que están obligando a que la convergencia emerja, y son los siguientes:
Rápida expansión del ecosistema de la empresa Migración del valor de activos físicos a activos intangibles y basados en la información Nuevas tecnologías de protección que eliminan fronteras fu ncionales Nuevos regímenes de cumplimiento y regulatorios Presión constante para reducir costos
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Estos imperativos fundamentalmente alteran el panorama de la seguridad al forzar un cambio en la función que desempeñan los profesionales de la seguridad a lo largo de la cadena de valor del negocio. Por ejemplo, a medida que las discusiones formales sobre riesgos se vuelven más integradas, multifuncionales y dominantes, aumenta en gran medida la expectativa de que los profesionales de la seguridad tanto física como de información generen soluciones conjuntas en vez de puntos de vista independientes. El estudio identificó un cambio del estado actual en el cual los profesionales de la seguridad se enfocan en su área, a un nuevo estado en el cual las actividades están integradas para mejorar el valor del negocio. Este nuevo "negocio de seguridad " requiere que los profesionales de la seguridad vuelvan a examinar las palancas operativas clave que tienen a su disposición. Aun cuando estas palancas operativas (por ejemplo, roles y responsabilidades, gestión de riesgos, liderazgo) no son nuevas, la oportunidad de utilizarlas en formas innovadoras podría ser prueba de ello. Por ejemplo, los sondeos y las encuestas probaron ser una clara evidencia de que, como líderes en el negocio, los profesionales de la seguridad necesitan ir de un modelo de personas de "comando y control" a un modelo participativo y de apoyo, y desarrollar una visión del riesgo en toda la empresa en lugar de una perspectiva basada en activos—en otras palabras, un enfoque más holístico e integral que vaya más allá de los activos y considere factores como la cultura, la estructura y procesos organizacionales, tales como el enfoque de sistemas discutido en la sección 1.5.5. Cumplir con la convergencia no se trata únicamente de integración organizacional, sino de integrar las disciplinas de seguridad con la misión del negocio a fin de generar valor para los accionistas mediante operaciones uniformes y predecibles, al mismo tiempo que se optimiza la asignación de recursos de seguridad. A medida que surgen nuevas tecnologías y que las amenazas se vuelven cada vez más complejas e impredecibles, los altos ejecutivos de seguridad reconocen la necesidad de fusionar las áreas de seguridad en toda la empresa. Un incidente que ocurrió en un importante banco japonés con sede en Londres, en el cual intrusos (hackers) intentaron (al menos esa fue la información que trascendió) robar £220 millones del banco, enfatiza este principio. Aun cuando el banco tuviera implementadas sólidas medidas de seguridad de tecnologías de información (TI), hubo un fallo en la seguridad física. Oponentes que se hicieron pasar por empleados de limpieza instalaron dispositivos en los teclados de las computadoras que les permitieron obtener información valiosa de acceso. Esta situación resalta y refuerza la necesidad de agrupar, de hecho, hacer que converjan, todos los componentes de la seguridad de una organización a través de un enfoque integrado y deliberado. Para que sea efectivo, este enfoque de convergencia debe llegar a la gente, procesos y tecnología, y permitir que las empresas eviten, detecten, respondan a cualquier tipo de incidente de seguridad y se recuperen de él. Además de los costos que enfrentan las compañías para contrarrestar los efectos inmediatos que tiene un incidente, los incidentes relacionados con la seguridad pueden ocasionar daños más costosos a largo plazo, tales como daños a la reputación y la marca. Más allá del impacto en la capitalización del mercado, en caso de que el problema amenace el bienestar público, los órganos reguladores podrían intervenir, promulgando requerimientos más estrictos que rijan las futuras prácticas de negocio.
1.9 MÉTRICAS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN Métricas es un término utilizado para denotar una medida basada en una referencia. El significado más básico de seguridad es la protección contra cualquier daño o la ausencia de éste. En sentido literal, las métricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia. Podría resultar útil aclarar la diferencia entre la gestión de la maquinaria de seguridad de TI técnica a nivel operacional y la gestión general de un programa de seguridad de la información. Las métricas técnicas son evidentemente útiles para la gestión operativa puramente táctica de la infraestructura de seguridad técnica, es decir, servidores, bases de datos, cortafuegos (firewalls), etc. Estas métricas pueden indicar que la infraestructura se maneja de forma adecuada y que las vulnerabilidades técnicas se identifican y reciben el tratamiento correspondiente. Sin embargo, estas métricas son de poco valor desde un punto de vista de gestión o gobierno estratégico. Es decir, no aportan nada sobre la alineación estratégica con objetivos de la organización o sobre qué tanto se gestionan los riesgos; proporcionan pocas medidas de cumplimiento de políticas o de
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información si los objetivos para niveles aceptables de posible impacto se están alcanzando; y no ofrecen ninguna información con respecto a si el programa de seguridad de la información está en la dirección correcta y alcanzando los resultados esperados. Desde una perspectiva de gestión, mientras ha habido mejoras en métricas técnicas, estas no son capaces de proporcionar respuestas a preguntas como:
¿Cuán segura es la organización? ¿Cuánta seguridad es suficiente? ¿Cómo sabemos cuándo la hemos alcanzado? ¿Cuáles son las soluciones más efectivas? ¿Cómo determinamos el grado de riesgo? ¿Con qué exactitud se puede predecir el riesgo? ¿Vamos en la dirección correcta? ¿Qué impacto tiene la falta de se guridad sobre la productividad? ¿Qué impacto tendría una violación crítica de la seguridad? ¿Qué impacto tendrán las soluciones de seguridad sobre la productividad?
En última instancia, la única forma de intentar proporcionar respuestas significativas a estas preguntas es mediante el desarrollo de medidas relevantes que traten los requerimientos de la gerencia para tomar decisiones apropiadas acerca de la seguridad de la organización. Por lo general, las auditorías completas y las evaluaciones de riesgo exhaustivas son las únicas actividades que llevan a cabo las organizaciones que brindan esta perspectiva tan amplia. Aun cuando desde el punto de vista de gestión de la seguridad son importantes y necesarias, estas actividades proporcionan sólo una historia o una fotografía, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad ni proporcionan la información necesaria para tomar decisiones prudentes.
1.9.1 MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN Generalmente es difícil o imposible manejar una actividad que no se puede medir. El propósito fundamental de las métricas, las medidas y el monitoreo es respaldar decisiones. Para que las métricas sean útiles, la información que proporcionan debe ser relevante para los roles y las responsabilidades del receptor de manera que se puedan llevar a cabo las decisiones informadas. Entre las métricas de seguridad tradicionales se encuentran el tiempo de inactividad ocasionado por virus o troyanos, número de penetraciones a sistemas, impactos y pérdidas, tiempos de recuperación, número de vulnerabilidades omitidas por los escaneos de redes y porcentaje de servidores con parches. Aun cuando estas medidas pueden ser indicios de aspectos de seguridad, ninguna proporciona información real sobre cuán segura es la organización. El riesgo operacional y su contraparte, la seguridad, no se miden directamente en términos absolutos; por el contrario, el indicador de medición normalmente está relacionado con aspectos como las probabilidades, los atributos, los efectos y las consecuencias. Varios de los enfoques que pueden ser útiles incluyen el valor en riesgo (VAR), el retorno sobre la inversión en seguridad (ROSI) y la expectativa de pérdidas anuales (ALE). VAR se utiliza para calcular la pérdida máxima probable en un período definido (día, semana, año) con un nivel de confianza típico de 95% o de 99%. ROSI se utiliza para calcular el retorno sobre la i nversión basándose en la reducción en pérdidas que r esulta de un control de seguridad. ALE proporciona el cálculo de la pérdida anual posible basándose en la frecuencia y magnitud probables de la inestabilidad de seguridad. Estos números comúnmente especulativos se pueden utilizar como base para asignar o justificar recursos para actividades de seguridad. Algunas organizaciones intentarán determinar los impactos máximos que podrían tener eventos adversos como una medida de la seguridad. Medir la seguridad por las consecuencias e impactos es como medir cuán alto es un árbol con base en qué tan fuerte es el sonido que emite cuando cae. En otras palabras, tendrían que ocurrir eventos adversos para
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información determinar si la seguridad está funcionando. La ausencia de incidentes adversos no proporciona información sobre el estado de la seguridad. Dicha falta podría significar que las defensas funcionan, o que nadie ha lanzado un ataque, o bien, que hay alguna vulnerabilidad que no se ha identificado. Por supuesto, los ataques simulados con pruebas de penetración dan alguna medida de la efectividad de las defensas sólo contra aquellos ataques específicos que se han lanzado. Sin embargo, a menos de que se haya lanzado un porcentaje de ataques que sea significativo en términos estadísticos de todos los ataques posibles, no se podría predecir el estado de la seguridad o la capacidad de la organización para resistir un ataque. Podría ser que todo aquello que se puede afir mar con certeza sobre la seguridad es que: 1. 2.
Algunas organizaciones son objeto de ataques con mayor frecuencia y/o registran mayores pérdidas que otras. Existe una fuerte correlación entre una buena gestión y prácticas de seguridad y un número relativamente menor de incidentes y pérdidas.
Una buena gestión es casi de manera indiscutible uno de los resultados de un buen gobierno. Medir con precisión la eficacia de un gobierno y gerencia de seguridad de la información puede ser aún más difícil que medir la seguridad. En la mayoría de los casos, las métricas se basarán en los atributos, los costos y los posteriores resultados del programa de seguridad. La Figura 1.6 (Ver presentación PPT) presenta los componentes de un programa de gobierno de la seguridad de la información y demuestra que se requiere el rumbo real del gobierno y la capacidad para medir y presentar informes sobre el desempeño. Un concepto sensato indica que una de las características de un programa de seguridad bien gobernado es que satisface las expectativas y alcanza los objetivos definidos de manera eficiente, efectiva y consistente. Sin embargo, esto resulta de poca ayuda para la mayoría de las organizaciones, ya que no está claro cuáles son las expectativas o los objetivos de seguridad específicos. Dado que el gobierno, en general, y el gobierno de la seguridad, en particular, son difíciles de medir mediante un conjunto de métricas objetivas, existe una tendencia a utilizar métricas que están disponibles, a pesar de su probada pertinencia. Un ejemplo típico que se observa en la mayoría de las organizaciones es el uso de los análisis de vulnerabilidad como una indicación de la seguridad global. Casi indiscutiblemente, si fuera posible eliminar todas, o casi todas, las vulnerabilidades (lo cual es imposible), se podría evitar la mayoría de los riesgos. La falacia radica en la suposición de que es posible determinar algo sobre el riesgo, amenaza o impacto, midiendo las vulnerabilidades técnicas. Aunque no existe una escala universal objetiva para la seguridad o el gobierno de la seguridad, es posible diseñar métricas eficaces que permitan guiar el desarrollo y la gestión de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad de la información claros. En esencia, las métricas pueden reducirse a cualquier medida de los resultados del programa de seguridad de la información que avance hacia los objetivos definidos. También se debe entender que se requieren diferentes métricas para proporcionar información en los niveles estratégico, táctico y operacional. Las métricas estratégicas estarán orientadas a resultados y objetivos de alto nivel para el programa de seguridad de la información. La base de un firme apoyo de la gerencia de nivel superior es fundamental, es crítica no sólo para el éxito del programa de seguridad, sino también para la implementación de un programa de métricas de seguridad. Este apoyo establece un enfoque sobre la seguridad dentro de los niveles más altos de la organización. Si no se tiene una base sólida (es decir, un apoyo proactivo de aquellas personas que se encuentran en posiciones que controlan los recursos de TI), la efectividad del programa de métricas de seguridad puede fallar cuando existan presiones por parte de la política o limitaciones en el presupuesto. El segundo componente de un programa efectivo de métricas de seguridad es contar con políticas y procedimientos de seguridad prácticos que estén respaldados por la autoridad necesaria para exigir su cumplimiento. Tales políticas y
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información procedimientos se definen como aquellos que se pueden alcanzar y que proporcionan una seguridad significativa mediante controles apropiados. Las métricas no son fáciles de obtener si no se tienen procedimientos implementados. El tercer componente es desarrollar y establecer métricas de desempeño cuantificables que estén diseñadas para capturar y proporcionar datos operacionales significativos. Para proporcionar datos significativos del desempeño, las métricas de seguridad cuantificables deben basarse en metas y objetivos de desempeño de seguridad de TI, y deben también ser fáciles de obtener y factibles de medir. Asimismo, deben ser repetibles, proporcionar las tendencias de desempeño correspondientes al paso del tiempo, y ser útiles para monitorear el desempeño y dirigir recursos. Por último, el programa de métricas de seguridad debe hacer hincapié en un análisis periódico y consistente de los datos de las métricas. Los resultados de este análisis se utilizan para aplicar lecciones aprendidas, mejorar la eficacia de los controles de seguridad existentes y planear controles futuros para cumplir con nuevos requerimientos de seguridad a medida que surgen. La recopilación de datos precisos de usuarios y partes interesadas debe ser una prioridad en caso de que los datos recopilados vayan a ser importantes para la gerencia y la mejora del programa de seguridad en su conjunto. El éxito de la implementación de un programa de seguridad de la información debe de determinarse por el grado al cual se generan resultados significativos. Un programa integral de análisis de métricas de seguridad debe proporcionar una justificación sustancial para las decisiones que repercuten directamente en la postura de seguridad de una organización. Estas decisiones incluyen solicitudes de presupuesto y personal, así como asignación de los recursos disponibles. Un programa de métricas de seguridad debe brindar una base precisa para la elaboración de los informes sobre el desempeño de la seguridad que se requieran.
1.9.2 MÉTRICAS DE IMPLEMENTACIÓN DE GOBIERNO Implementar una estrategia y un marco de gobierno de la seguridad de la información puede requerir de un esfuerzo significativo. Es importante que se cuente con alguna forma de métrica durante la implementación de un programa de gobierno. El desempeño del programa de seguridad en su conjunto será demasiado detallado para brindar información oportuna sobre la implementación y se deberá utilizar otro enfoque. Los indicadores clave de metas (KGIs) y los indicadores clave de desempeño (KPIs) pueden servir para proporcionar información sobre el logro de las metas del proceso o servicio y pueden determinar si se están alcanzando los objetivos y logros importantes de la organización.
1.9.3 ALINEACIÓN ESTRATÉGICA La alineación estratégica de la seguridad de la información en apoyo a los objetivos organizacionales es una meta altamente deseable que a menudo es difícil de alcanzar. Debe quedar claro que la rentabilidad de un programa de seguridad está vinculada inevitablemente a qué tan bien apoya los objetivos de la organización y a qué costo. Si no se cuenta con objetivos organizacionales que sirvan de punto de referencia, cualquier otra medida, incluso las llamadas mejores prácticas, puede ser innecesaria, inadecuada o mal dirigida. Desde el punto de vista del negocio, es probable que prácticas adecuadas y suficientes que sean proporcionales a los requerimientos resulten más rentables que las mejores prácticas. De igual forma es probable que una gerencia consciente de los c ostos las reciba mejor. El mejor indicador integral de que las actividades relacionadas con la seguridad están alineados con los objetivos de negocio (u organizacionales) es el desarrollo de una estrategia de seguridad que defina los objetivos de seguridad en términos del negocio y garantiza que los objetivos se encuentran articulados de manera directa desde la planificación hasta la implementación de políticas, estándares, procedimientos, procesos y tecnología. La prueba de fuego es la evaluación en orden inverso de que es posible rastrear un control específico hasta un requerimiento de negocio en particular. Cualquier control cuyo rastro no se pueda establecer de vuelta hasta el requerimiento de negocio específico resulta sospechoso y debe analizarse para establecer s u relevancia y posible eliminación. Los indicadores de la alineación pueden incluir los siguientes:
Un programa de seguridad que posibilita de manera co mprobable las actividades específicas de negocio. Una organización de la seguridad que es receptiva a los requerimientos de negocio definidos.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Objetivos organizacionales y de seguridad que están definidos y son claramente entendidos por parte de todos los involucrados en la seguridad y las actividades de aseguramiento relacionadas. Programas de seguridad que se correlacionan con los objetivos organizacionales y la dirección ejecutiva ha validado dicha correlación. Un comité directivo de seguridad conformado por ejecutivos clave y cuenta con estatutos para garantizar la continua alineación de las actividades relacionadas con la seguridad y la estrategia de negocio.
1.9.4 GESTIÓN DE RIESGOS La gestión de riesgos es el objetivo principal de todas las actividades relacionadas con la seguridad de la información y, en realidad, de todos los esfuerzos realizados con respecto al aseguramiento organizacional. Aun cuando la efectividad en la gestión de riesgos no está sujeta a una medición directa, existen indicadores que guardan una estrecha relación con un enfoque exitoso. Un programa exitoso de gestión de riesgos puede definirse como aquel que cumple con las expectativas y alcanza objetivos definidos de manera efectiva, efectiva y consistente. Una vez más, es preciso que estén definidas las expectativas y objetivos de la gestión de riesgos; de lo contrario, no se tendría una base para determinar si el programa está teniendo éxito, está avanzando en la dirección correcta o si la asignación de recursos es apropiada. Los indicadores de una gestión de riesgos apropiada pueden incluir:
Un apetito de riesgo definido de la organización, o una tolerancia a riesgos en términos relevantes para la organización Estrategia y programa integrales de seguridad para alcanzar niveles aceptables de riesgo. Objetivos de mitigación definidos para riesgos significativos identificados. Procesos para el manejo o la reducción de impactos adversos. Procesos sistemáticos y continuos de gestión de riesgos. Tendencias de evaluaciones periódicas de riesgos que indiquen avances hacia las metas que se hayan definido. Tendencias en los impactos Planes probados de continuidad del negocio/recuperación ante desastres. Integridad de la valuación de activos y cesión de propiedad. Evaluaciones de impactos al negocio (BIAs) de todos los sistemas esenciales o confidenciales
La meta predominante de la seguridad de la información es reducir el impacto adverso que puede tener en la organización a un nivel aceptable. Por tanto, una métrica clave es el impacto adverso que tienen en la organización los incidentes relacionados con la seguridad de la información. Un programa efectivo de seguridad mostrará una tendencia en la reducción del impacto. Las mediciones cuantitativas pueden incluir un análisis de tendencias de los impactos con el paso del tiempo.
1.9.5 ENTREGA DE VALOR La entrega de valor ocurre cuando las inversiones en seguridad se optimizan para respaldar los objetivos de la organización. La entrega de valor es una función de alineación de la estrategia de los objetivos de seguridad; en otras palabras, cuando un caso de negocio se puede realizar de modo convincente para todas las actividades de seguridad. Se tiene niveles óptimos de inversión cuando se alcanzan las metas estratégicas para la seguridad y se logra una postura de riesgo aceptable al menor costo posible. Los indicadores clave (KGIs, KPIs) pueden incluir los siguiente s: • • • •
Las actividades de seguridad que estén diseñadas para alcanzar objetivos estratégicos definidos. El costo de la seguridad es proporcional al valor de los activos. Los recursos de seguridad que sean distribuidos con bas e en el grado de riesgo valorado y el posible impacto. Los costos de protección sean consolidados como una función de ingresos o valuación de activos.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • •
•
Los controles que estén bien diseñados con base en objetivos de control definidos y se utilizan en su totalidad. El número de controles para alcanzar niveles aceptables de riesgo e impacto es adecuado y apropiado. La eficacia de los controles se determina a partir pruebas periódicas. Las políticas establecidas que requieren que todos los controles se reevalúen con regularidad para determinar su costo, cumplimiento y efectividad. La utilización de controles; los controles que rara vez se usan difícilmente serán r entables. El número de controles para alcanzar niveles aceptables de riesgo e impacto; se puede esperar que un número menor de controles efectivos sea más rentable q ue un número mayor de controles menos eficaces. La efectividad de los controles que se haya determinado a partir de las pruebas; es poco probable que los controles marginales sean rentables.
1.9.6 GESTIÓN DE ACTIVOS La gestión de recursos de seguridad de la información es el término que se emplea para describir los procesos de planificación, asignación y control de los recursos de seguridad de la información, entre otros, personal, procesos y tecnologías, para mejorar la eficiencia y la efectividad de las soluciones de negocio. Tal como sucede con otros activos y recursos de la organización, deben administrarse de manera apropiada. El conocimiento debe recopilarse, difundirse y estar disponible cuando se requiera. Brindar múltiples soluciones a un mismo problema resulta, sin duda, ineficiente y es indicio de una falta de gestión de recursos. Los controles y los procesos deben estandarizarse cuando sea posible a fin de reducir los costos administrativos y de capacitación. De igual forma, tanto los problemas como las soluciones deben estar bien documentados, referenciados y disponibles. Entre los indicadores que denotan una gestión de recursos efi ciente se encuentran los siguientes:
Descubriendo una vez más los problemas de ocurrencias poco frecuentes La recopilación y difusión del conocimiento es eficiente. Procesos estandarizados Los roles y las responsabilidades están claramente definidos para las áreas de seguridad de la infor mación. Las funciones de seguridad de la información incorporadas a cada plan de proyecto. Los recursos de seguridad abarcan los activos de información y las amenazas relacionadas. La debida ubicación organizacional, nivel de autoridad y número de personal para el área de seguridad de la información.
1.9.7 MEDICIÓN DEL DESEMPEÑO La medición, monitoreo y presentación de información sobre los procesos de seguridad de la información es un requerimiento para garantizar que se alcancen los objetivos de la organización. Es bastante claro que "no es posible administrar lo que no se puede medir". Se deben desarrollar métodos para monitorear los incidentes relaciona dos con la seguridad en toda la organización y es fundamental diseñar métricas que proporcionen una indicación del desempeño de la maquinaria de seguridad y, desde una perspectiva de gerencia, la información necesaria tomar decisiones necesarias para guiar las actividades de seguridad de la organización. Cuando el ideal de un tablero de instrucciones de seguridad no se ha concretado, la mayoría de las medidas serán indicadores indirectos del estado de seguridad y desempeño del programa de seguridad. Los indicadores para una medición efectiva del desempeño podrían i ncluir los siguientes: • • • • •
El tiempo que toma la detección y la notificación de incidentes rel acionados con la seguridad. El número y la frecuencia de incidentes no notificados que se hayan identificado con posteriori dad. La realización de pruebas comparativas (benchmarking) de costos y efectividad de organizaciones comparables. La capacidad para determinar la eficacia/eficiencia de los controles. Indicaciones claras de que se están cumpliendo los objetivos de la seguridad.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • • •
La ausencia de incidentes inesperados relacionados con la seguridad. Conocimientos de las amenazas inminentes. Medios eficaces para determinar las vulnerabilidades de la organización. Métodos para monitorear los riesgos cambiantes. Consistencia en las prácticas de revisión de logs. Resultados de las pruebas de planificación continua del negocio (BCP-Business continuity planning)/recuperaeión en caso de desastre (DR-desaster recovery).
1.9.8 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) Tal como se mencionó anteriormente en este documento, un área de interés conceptual que está emergiendo y que está relacionada con un resultado sugerido del gobierno de la seguridad de la información se denomina aseguramiento del proceso de negocio o integración del aseguramiento. Para aquellas organizaciones que estén considerando un enfoque para el gobierno de la seguridad de la información que incluya un esfuerzo por integrar varias funciones de aseguramiento y que garantice que los procesos operan según lo esperado de principio a fin, minimizando los riesgos ocultos, los KGIs pueden incluir los siguientes: • • • • • •
No existen fallas en la protección de los activos de información. Se eliminan superposiciones innecesarias en la seguridad. Las actividades de aseguramiento están perfectamente integradas. Los roles y las responsabilidades están bien definidos. Los encargados de proporcionar el aseguramiento entienden la relación con otras áreas de aseguramiento. Todas las funciones de aseguramiento están identificadas e incl uidas en la estrategia.
1.10 VISIÓN GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN Es difícil encontrar una definición precisa de estrategia de seguridad de la información, pero podríamos decir que: “La estrategia corporativa en SI es el patrón de decisiones en una compañía que determina y revela sus objetivos, propósitos, o metas de SI, genera las principales políticas y planes de SI para alcanzar dichas metas y define el rango de SI que debe perseguir la compañía, el tipo de organización económica y humana debe alcanzar en términos de SI y la naturaleza de la contribución en aspectos de SI tanto económica como no económica que pretende dejar a sus accionistas, empleados, clientes y comunidades. La Figura 1.7 (Ver presentación PPT) muestra a los participantes en el desarrollo de una estrategia de seguridad y sus relaciones, y los alinea con los objetivos de negocio. La flecha que indica "Estrategia de Negocio" brinda una directriz para alcanzar los "Objetivos de Negocio". Además, la estrategia de negocio debe hacer una de las principales contribuciones a los planes de la "Gestión de riesgos" y la "Estrategia de seguridad de la información". Este flujo sirve para promover la alineación de la seguridad de la información con los objetivos de negocio. El equilibrio de las contribuciones radica en determinar el estado deseado de la seguridad en comparación con el estado actual o existente. Los procesos del negocio se deben considerar al igual que los resultados de las evaluaciones de riesgos y el análisis de impacto para determinar niveles de protección y prioridades. También se deben considerar los requerimientos regulatorios en el desarrollo de la estrategia de seguridad. El objetivo de la estrategia de seguridad es el estado deseado definido por atributos de negocio y seguridad. La estrategia establece la base para un plan de acción que incluya uno o más programas de seguridad que, conforme se vayan implementando, alcancen los objetivos de seguridad. Cada plan de acción debe formularse con base en los recursos disponibles y las limitaciones. Tanto la estrategia como los planes de acción deben contener disposiciones para monitoreo y métricas definidas para determinar el nivel de éxito. Esto proporciona al CISO y al comité directivo información de retroalimentación que
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información permiten correcciones a medio camino y asegurar que las iniciativas de seguridad sean las adecuadas para alcanzar los objetivos definidos.
1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA A menudo "el enfoque de la estrategia implica la suposición errónea de que un camino predecible al futuro puede ser pavimentado a partir de la experiencia del pasado." Se puede deducir entonces que los resultados estratégicos no pueden predeterminarse dado el ambiente turbulento de negocios que se vive hoy en día. En consecuencia, se puede proponer una visión alternativa de estrategia como "una cartera coherente y evolutiva de iniciativas para manejar el valor de los accionistas y el desempeño a largo plazo. Este cambio en la manera de pensar requiere que la gerencia desarrolle una perspectiva de tú eres lo que haces en oposición a una de tú eres lo que dices. En otras palabras, las compañías se definen por las iniciativas que priorizan y manejan, y no tan sólo por sus declaraciones de misión y visión." Por ende la estrategia enfocada de esta manera es, por su propia naturaleza, más adaptable, y menos dependiente de las grandes apuestas. Una cartera de iniciativas administrada cuidadosamente se equilibra en las distintas actividades para adaptar los negocios centrales para enfrentar los retos futuros, dar forma a la cartera continuamente para responder a un ambiente en constante cambio, y construir la siguiente generación de negocios. Al crear una cartera de iniciativas alrededor de un tema unificador, reforzado por marcas, propuestas de valor a los clientes y capacidades operativas sólidas, una compañía puede establecer con éxito el escenario para impulsar el valor de lo s accionistas." El criterio que posiblemente sea más importante para obtener buenos resultados de una estrategia exitosa es un liderazgo y compromiso sólidos y constantes por parte de la alta dirección para alcanzar un gobierno efectivo de seguridad de la información. Otra perspectiva sobre la estrategia se presenta desde el punto de vista de la arquitectura que ofrece la Arquitectura Aplicada de la Seguridad de Negocio de Sherwood (SABSA) tal como se muestra en la Figura 1.8 (Ver presentación PPT) .
1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN Para desarrollar una estrategia de seguridad de la información sólida es necesario considerar y evitar las dificultades comunes. La probabilidad de obtener buenos resultados será baja con estrategias deficientes.
1.11.1 DIFICULTADES COMUNES Sería una subestimación decir que la historia está llena de ejemplos de malas estrategias. Es sorprendente que después de casi cuatro décadas del desarrollo de la teoría de estrategia de negocio, dicha falta de estrategia siga siendo una constante. Otras causas para los fallos en la estrategia no se han comprendido bien, pero presentan causas raíz que se explican mediante la economía conductual, una rama de la psicología que estudia, entre otras cosas, los procesos de toma de decisiones y el alejamiento de una elección racional. Algunos experimentos y estudios han demostrado una variedad de causas que están detrás de una toma de decisión viciada. Conocer dichas causas puede permitir compensar para reducir los efectos adversos. Entre las principales razones están l as siguientes:
Exceso de confianza—La investigación muestra una tendencia de la gente a tener un exceso de confianza en su capacidad para hacer cálculos exactos. La mayoría de la gente se muestra renuente a calcular una amplia variedad de posibles resultados y prefiere estar precisamente en un error que vagamente en lo correcto. La mayoría también tiende a confiar demasiado en sus propias capacidades. Para las estrategias organizacionales que se basan en evaluaciones de capacidades principales, esto puede resultar en particular problemático.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
Optimismo—La gente tiende a ser optimista en sus pronósticos. Una combinación de confianza y optimismo excesivos puede tener un impacto desastroso en las estrategias que se basan en los cálculos de lo que podría suceder. Por lo general dichas proyecciones son precisas a un grado no realista y d emasiado optimistas. Anclaje—La investigación demuestra que una vez que se presenta un número a una persona, un cálculo posterior de un sujeto que no guarda ninguna relación que implique números estará "anclado" al primer número. Aun cuando podría resultar útil para efectos de mercadotecnia, el anclaje puede tener consecuencias graves en el desarrollo de estrategias cuando resultados futuros se anclan a experiencias pasadas. La tendencia del status quo—La mayoría de las personas muestra una fuerte tendencia a apegarse a enfoques familiares y conocidos incluso cuando se haya comprobado que son inadecuados o ineficaces. La investigación también indica que la preocupación por las pérdidas es por lo general mayor que la emoción de una posible ganancia. El "efecto de legado" es una tendencia similar en la cual la gente prefiere conservar lo que es suyo o lo que conocen, y el simple hecho de poseer algo lo hace más valioso para el dueño. Contabilidad mental—Se define como "la inclinación a categorizar y tratar al dinero de manera diferente dependiendo de dónde viene, dónde se mantiene y cómo se gasta." La contabilidad mental es común incluso en salas de juntas de corporaciones conservadoras y racionales. Algunos ejemplos i ncluyen: Estar menos interesado en los gastos derivados de los cargos por reestructuración que del estado de resultados. Imponer límites de costos a un negocio básico mientras se gasta libremente en un negocio nuevo. Crear nuevas categorías de gastos como "inversiones de los ingresos" o "inversiones estratégicas" El instinto gregario—Es una característica humana fundamental conformar y buscar la validación de otros. Esto puede observarse por la "manía" en la seguridad (así como todos los demás aspectos de la actividad humana) cuando, por ejemplo, de pronto alguien se involucra en el manejo de claves o la detección de intrusos. En ocasiones, explicado en términos de "una idea cuya hora ha llegado", se describe con mayor precisión como el instinto gregario detrás de los líderes del pensamiento. Las implicaciones que tiene para el desarrollo de la estrategia deben quedar claras. Queda demostrado de manera acertada cuando se dice que "para los altos directivos lo único peor que cometer un enorme error estratégico es ser la única persona en la industria que lo comete." Falso consenso—Existe una tendencia bien documentada en la gente de sobreestimar el grado al cual los demás comparten sus puntos de vista, creencias y experiencias. Al momento de desarrollar estrategias, el falso consenso puede causar que se ignoren o minimicen amenazas o debilidades importantes de los planes y que persistan con estrategias destinadas al fracaso.
Distintas investigaciones han develado una serie de causas, entre l as que se incluyen: • • •
•
Tendencia a la confirmación—Buscar opiniones o hechos que respalden nuestras propias cre encias. Recuerdos selectivos—Recordar sólo hechos o experiencias que r efuerzan las suposiciones actuales. Evaluación subjetiva—Fácil aceptación de evidencia que sustenta nuestras hipótesis al mismo tiempo que se cuestiona la evidencia contradictoria y, casi invariablemente, se rechaza. A menudo a los críticos se les ataca con motivos hostiles se pone en t ela de juicio su competencia. Pensamiento de grupo—La presión para llegar a un acuerdo en culturas orientadas a formar equipos.
1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN Se deben definir los objetivos de desarrollar una estrategia de seguridad de la información y se deben desarrollar métricas para determinar si se están alcanzando tales objetivos. Por lo general, los seis resultados definidos del gobierno de la seguridad de la información proporcionan una orientación de alto nivel; sin embargo. Tal como se mencionó anteriormente, los seis resultados se listan a continuación: •
Alineación estratégica
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • •
Gestión de riesgos empresariales Entrega de valor Gestión de recursos Medición del desempeño Integración del aseguramiento del proceso
Será necesario que la estrategia considere lo que cada una de las áreas seleccionadas significa para la organización; cómo se podrían lograr y qué constituirá el éxito.
1.12.1 LA META La primera, y a menudo sorprendentemente difícil, pregunta que debe responder una organización que busca desarrollar una estrategia de seguridad de la infor mación es: ¿cuál es la meta? Aun cuando ésta parece ser una pregunta trivial, la mayoría de las organizaciones no define de manera específica los objetivos de la seguridad de la información. Esto puede deberse a que parece obvio que la meta de la seguridad de la información es proteger los activos de información de la organización. Sin embargo, dicha respuesta supone el conocimiento de dos factores: el primero es que los activos de información se conocen con algún grado de precisión, lo cual no es el caso de la mayoría de las organizaciones, y el segundo es que existe un entendimiento asumido de lo que significa "proteger". Cada persona entiende el concepto en general. Lo que resulta mucho más difícil es establecer qué activos necesitan cuánta protección y contra qué. En parte, estos problemas existen porque las organizaciones en general tienen poco conocimiento de la información que existe dentro de la empresa. Por lo regular no se cuenta con un proceso para eliminar información o datos inútiles, desactualizados o potencialmente peligrosos o bien, para tal efecto, aplicaciones no utilizadas. Es sumamente raro encontrar un catálogo o índice de información/procesos completo que defina lo que es importante y lo que no lo es, o incluso quién es el dueño de dicho proceso. En consecuencia, todo se protege bajo la premisa de que el almacenamiento es menos costoso que la clasificación de datos, la cesión de propiedad y la identificación de usuarios. En el caso de las grandes organizaciones, esto puede equivaler a terabytes de datos inútiles y literalmente miles de aplicaciones desactualizadas y no utilizadas que se han acumulado durante déc adas. La situación dificulta elaborar un plan racional de protección de datos, ya que posiblemente no tenga mucho sentido gastar recursos en proteger datos o información inútil o peligrosa, o bien aplicaciones que ya no se utilizan. En este contexto, los datos peligrosos se refieren a aquella información que podría utilizarse para perjudicar a la organización, por ejemplo, pruebas perjudiciales obtenidas en litigios que pudieran haberse destruido conforme a una política de retención legal y apropiada. Suponiendo que la información relevante existente se encuentra localizada e identificada, entonces se le debe clasificar o catalogar con base en su criticidad y sensibilidad. Un volumen enorme de datos e información de una organización típica no será ni crítico ni confidencial, y sería un desperdicio gastar una cantidad importante de recursos para protegerlos. Para muchas organizaciones, ésta puede ser una tarea significativa y se muestran renuentes a asignar los recursos necesarios. Sin embargo, se trata de un paso crucial en el desarrollo de una estrategia práctica y útil de seguridad de la información y de un programa rentable de seguridad. Así como se asignan valores a los recursos físicos de una organización, se deben asignar valores a la información para priorizar los esfuerzos de protección limitados por el presupuesto y determinar los niveles de protección que se requieren. En la mayoría de los casos es difícil realizar valuaciones exactas de la información. En algunos casos, puede ser el costo de generarla o reemplazarla. En otros, la información en forma de conocimiento o secretos comerciales es difícil o imposible de reemplazar y podría ser literalmente invaluable. Sin duda alguna es sensato brindar una excelente protección a la información invaluable. Un enfoque que se ha utilizado es crear unos cuantos niveles aproximados de valor, por ejemplo, de cero a cinco, donde cero significa que no tiene valor y cinco significa que es crítico. La información de valor cero, incluyendo aplicaciones,
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información podría asignarse cuando no se pueda determinar quién es su dueño y no se ha proporcionado evidencia de que se ha utilizado durante un tiempo. La información de valor cero puede entonces archivarse durante un periodo específico, para lo cual se envían notificaciones a los dueños de negocio y en caso de que no se presente alguna objeción, ésta se destruye. Por ende, la protección de aquella información considerada de nivel cinco (crítica) será prioritaria. Otro enfoque que podría ser de mayor utilidad y mucho más fácil de realizar es una evaluación de la dependencia del negocio que se utiliza como un indicador de valor. Dicha evaluación comienza mediante la definición de los procesos críticos de negocio, para después determinar la información que se utilizará y generará. Esta proporcionará una medida del nivel de criticidad de los recursos de información que puede utilizarse para orientar las actividades de protección. Cualquiera que sea el método que se utilice, el nivel de sensibilidad también debe definirse al mismo tiempo a fin de establecer el nivel de clasificación que se requiere para controlar el acceso a la información y limitar su divulgación. Por lo general, la mayoría de las organizaciones utilizará tres o cuatro clasificaciones de sensibilidad, tales como confidencial, de uso interno, y pública. Para la mayoría de las organizaciones, la clasificación de activos representa una tarea de enormes proporciones pero que debe llevarse a cabo para la información con la que se cuente si se desea que el gobierno de la seguridad sea eficiente y relevante. Asimismo, es una tarea cuyos costos crecerán de manera exponencial con el paso del tiempo a menos de que se atienda. Al mismo tiempo, deben desarrollarse políticas, estándares y procesos para exigir que la clasificación avance y evitar que el problema empeore. En resumen, no será posible desarrollar una estrategia rentable de seguridad de la información que esté alineada con los requerimientos del negocio si antes no se: • • • •
determinan los objetivos de seguridad de la información; localizan e identifican los recursos y los activos de información; valúan los activos y recursos de información; clasifican los activos de información con base en su criticidad y sensibilidad.
1.12.2 DEFINICIÓN DE OBJETIVOS Si una estrategia de seguridad de la información es la base para un plan de acción que permita alcanzar los objetivos de seguridad, sin duda será necesario definir dichos objetivos. Es preciso definir los objetivos a largo plazo en términos de un "estado deseado" de seguridad por varias razones. Si no se tiene una perspectiva bien estructurada de los resultados que se desea obtener de un programa de seguridad, será imposible desarrollar una estrategia significativa. Es un hecho axiomático que, si uno no sabe adónde va, no puede encontrar el camino para llegar y no sabrá cuándo ha llegado. Si no se cuenta con una estrategia, será imposible desarrollar un plan de acción significativo y la organización procederá a implementar soluciones de puntos tácticos ad hoc y no habrá nada que proporcione una integración total. Los sistemas no integrados que resultarían de ello serían cada vez más difíciles de manejar, y su protección será más costosa y difícil, o incluso imposible. Por desgracia, muchas organizaciones no asignan los recursos adecuados para tratar este tipo de situaciones sino hasta que ocurre un incidente grave. La experiencia ha demostrado que tales incidentes suelen ser mucho más costosos de lo que habría resultado resolverlos. Muchos objetivos se establecen en términos de mitigación o de gestión de riesgos. Los objetivos de la estrategia de seguridad de la información también deben establecerse en términos de metas específicas para apoyar mejor las actividades de negocio. Algunos mitigantes de riesgo casi siempre serán aplicables a la organización, por ejemplo, protección antivirus o contra otro programa dañino (malware). Dicha protección, por lo general, no se considera un facilitador específico de negocio, sino un apoyo a la salud general de la organización al reducir cualquier impacto adverso que pudiera dificultar las actividades de la o rganización.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Es probable que una revisión de los planes de negocio estratégicos de la organización revele oportunidades para que las actividades de seguridad de la información apoyen más o permitan una nueva posibilidad de negocio en particular. Por ejemplo, la implementación de una infraestructura de llave pública (PKI) puede permitir la realización de transacciones de alto valor entre socios comerciales o clientes confiables. Utilizar redes privadas virtuales (VPNs) puede darle a la fuerza de ventas una conectividad remota segura que le permita un mejor desempeño. En otras palabras, la seguridad de la información puede facilitar que se lleven a cabo actividades de negocio que de otro modo serían demasiado arriesgadas o, como sucede con mucha frecuencia, se realizan con la esperanza de que nada falle.
Interrelaciones de Negocio Otras interrelaciones de negocio pueden comenzar desde la perspectiva de los objetivos específicos de una línea de negocio particular. La revisión y análisis de todos los elementos de una determinada línea de producto pueden ilustrar este enfoque. Considere una organización que produce cereal de caja. La materia prima llega a la planta por automotor justo a tiempo. Los granos se vacían en tolvas que alimentan a las diversas maquinarias de procesamiento. El cereal terminado se empaca y se transporta al almacén. Este proceso relativamente sencillo se basa en muchos flujos de información que están sujetos a fallos en la disponibilidad, confidencialidad o integridad. Cualquier avería o interrupción significativa en el lado de la cadena de abastecimiento, por ejemplo, pedidos, seguimiento o pagos es probable que ocasione una interrupción en la producción. Prácticamente todas las actividades de la planta están asociadas al procesamiento de datos y los flujos de información. Casi todo el procesamiento de materiales en la planta está ligado a los flujos de información. Para que la seguridad de la información sea efectiva tiene que considerar todos los flujos de información que son cruciales para garantizar la continuidad de la operación. Para lograrlo, es necesario tener un buen entendimiento del negocio y de los flujos de información críticos de los que depende. El análisis en el ejemplo anterior podría incluir toda la información fragmentada que se maneja y procesa sobre esta operación de manufactura. Investigar la historia del proceso revelaría fallos anteriores que indican deficiencias en el sistema. La mayoría de los fallos se deberán a errores humanos y sería posible reducirlas ya sea mediante mejores controles o adicionales, o procesos automatizados más confiables. Entre los errores comunes se incluyen los de ingreso de datos, que podrían mejorarse mediante verificación de rango u otros procesos técnicos. Pueden ser necesarios cambios de procedimientos o un proceso de validación de ingreso de datos. El desarrollo y análisis de vinculaciones del negocio pueden develar asuntos de seguridad de la información en el nivel operacional que pueden mejorar visiblemente la percepción del valor de la seguridad de la información realizando procesos de negocios más sólidos. Las vinculaciones de negocio mejoradas pueden ser uno de los resultados positivos de un grupo directivo para la seguridad de la información si se incluyen los gerentes de operaciones. Las vinculaciones también se pueden establecer mediante reuniones regulares con dueños de negocio para sostener discusiones sobre asuntos relacionados con la seguridad. Esto también puede dar origen a la oportunidad de formar a dueños del proceso de negocio sobre posibles ventajas que la seguridad puede ofrecer a su operación.
1.12.3 DESARROLLO DEL CASO DE NEGOCIO El propósito de un caso de negocio es capturar el razonamiento para iniciar un proyecto o una tarea y debería incluir todos los factores que pueden afectar de forma considerable su éxito o fracaso. Por lo general, es más efectivo ya sea como un documento escrito bien estructurado o como una presentación de diapositivas. Debe incluir beneficios, costos y riesgos de forma convincente. Los beneficios deben ser tangibles, factibles y relevantes para la organización. Se debe prestar particular atención a los aspectos financieros de la propuesta. El costo total de propiedad (TCO) y los riesgos correspondientes al ciclo de vida completo del proyecto se deben presentar de forma realista. Es importante evitar el
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información exceso de confianza, proyecciones demasiado optimistas y precisión excesiva para lo que probablemente sean resultados un tanto especulativos. (Véase 1.11.1, Dificultades de las Estrategias) Los propósitos principales del proceso formal de un caso de negocio son:
• • •
Introducir una manera de pensar que conceda a las personas autoridad a fin de recomendar proyectos para considerar su valor, riesgo y prioridad relativa como elemento fundamental del envío de la propuesta de proyecto. Requerir a las personas que proponen un proyecto justificar su valor para la empresa y eliminar todas las propuestas cuyos valores no se puedan demostrar. Permitir a la gerencia determinar si el proyecto propuesto tiene valor para el negocio y se puede lograr en comparación con los méritos relativos de las propuestas alternativas. Permitir a la gerencia que mida objetivamente el logro subsiguiente de los beneficios del caso de negocio.
A pesar de que existen numerosos formatos posibles para desarrollar un caso de negocio, utilizar las metodologías formales para la gestión de proyectos es probablemente lo más apropiado. El caso debe incluir las opciones consideradas y las razones para rechazarlas. Las opciones presentadas deben incluir el caso para no iniciar un proyecto particular. El caso de negocio debe incluir algunas de o todas las siguientes opciones: • •
• • • • •
• •
Referencia—Nombre/referencia del proyecto, orígenes/ antecedentes/estado actual Contexto—Objetivos/oportunidades de negocio, alineación estratégica del negocio (prioridad) Proposición de Valor—Los resultados de negocio deseados, el plan de acción para los resultados, los beneficios para el negocio (según los resultados), el valor cuantificado de los beneficios, los escenarios financieros de costos/ROI, los riesgos/costos de no proceder, los riesgos del proyecto (para el proyecto, los beneficios y el negocio) Enfoque—Alcance de los problemas/soluciones, supuestos/ limitaciones, opciones identificadas/evaluadas, tamaño, escala y evaluación de la complejidad Productos—Resultados, productos y beneficios planificados; las áreas impactadas de la organización (interna y externamente); partes interesadas clave Dependencias—Factores críticos para el éxito (CSFs) Métricas del proyecto—Indicadores clave de metas (KGIs), indicadores clave de desempeño (KPIs) Carga de trabajo—Enfoque, definiciones de fases/etapas (actividades [de cambio] del proyecto, actividades técnicas de entrega, estimado/desglose de la carga de trabajo, plan y programa del proyecto, análisis de la ruta crítica) Recursos requeridos—Equipo de liderazgo del proyecto, equipo de gobierno del proyecto, recursos de equipos, financiamiento Compromisos (requerido)—Controles del proyecto, programa de revisiones, procesos de informes, programa de productos, presupuesto/programa financiero
Evaluación de Casos de Negocio La evaluación y revisión de un caso de negocio debe incluir que se determine que: • • • • •
la inversión tenga valor e importancia. el proyecto se gestionará adecuadamente. la empresa tenga la capacidad para entregar los beneficios. los recursos dedicados de la empresa estén funcionando sobre las oportunidades de más alto valor. los proyectos con interdependencias se emprendan según la secuencia óptima.
Objetivos de Casos de Negocio El proceso de caso de negocio se debe diseñar para que sea: • •
Adaptable—Se debe adaptar al tamaño y riesgo de la propuesta Consistente—Todos los proyectos deben abordar los mismos problemas básicos de negocio.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • • •
Orientado al negocio—Debe estar relacionado con las capacidades y el impacto del negocio, en lugar de centrarse en el aspecto técnico Integral—Debe incluir todos los fact ores relevantes para una evaluación completa. Comprensible—El contenido debe ser claro, lógico y, aunque exigente, fácil de completar y evaluar. Medible—Todos los aspectos clave se pueden cuantificar, de modo que su logro se puede rastrear y medir. Transparente—Los elementos clave se pueden justificar directamente. Responsable—Las responsabilidades y los compromisos para la entrega de beneficios y la gestión de costos deben ser claras.
1.12.4 EL ESTADO DESEADO El término "estado deseado" se utiliza para denotar una visión general de todas las condiciones relevantes en un momento en particular. Esto incluye personas, procesos y tecnologías. Definir un "estado de seguridad" en términos puramente cuantitativos es imposible. En consecuencia, un "estado deseado de seguridad" tiene que definirse en términos cualitativos de atributos, características y resultados. De acuerdo con COBIT, puede incluir objetivos de alto nivel, entre otros: "Proteger tanto los intereses de aquellos que dependen de la información como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algún daño que resulte en fallos en la disponibilidad, confidencialidad e integridad de dicha información." Resulta evidente que aun cuando la aseveración anterior es útil para declarar la intención y el alcance, no ofrece la claridad suficiente para definir los procesos u objetivos. Los elementos cualitativos, tales como los resultados deseados, deben definirse con la mayor precisión posible para brindar orientación en cuanto al desarrollo de la estrategia. Por ejemplo, si el cumplimiento regulatorio específico es un resultado deseado, se vuelve evidente un número significativo de requerimientos técnicos y de procesos. En caso de que las características incluyan un método pacífico para exigir el cumplimiento que sea congruente con la cultura de la organización, entonces el desarrollo de la estrategia presentará límites en los tipos de métodos que se van a considerar para tal efecto. Una serie de enfoques útiles se encuentran disponibles para proporcionar un marco general que ayude a alcanzar un "estado deseado" de seguridad bien definido. Estos, y quizás otros, aspectos se deben evaluar para determinar cuál se integra, ajusta y funciona mejor para la organización. Puede ser útil combinar diferentes estándares y marcos generales para proporcionar una visión multidimensional del estado deseado. Véase la Figura 1.9 (Ver presentación PPT). Varios de los enfoques más aceptados se describen a continuación.
CobiT Los Objetivos de Control de Información y Tecnologías Relacionadas (COBIT) se enfocan a los procesos relacionados con las tecnologías de información desde las perspectivas del gobierno de TI, gestión y control. COBIT es un marco de gobierno de TI y un conjunto de herramientas de soporte que permite a los gerentes salvar la brecha que existe entre los requerimientos de control, los problemas técnicos y los riesgos de negocio. COBIT permite desarroll ar una política clara y una práctica sana para el control de las tecnologías de información en las organizaciones. Desde el punto de vista del CISM, los objetivos y procedimientos de control tienen que ampliarse más allá de las actividades de TI a fin de que incluyan cualquier actividad que pudiera tener un impacto en la seguridad de la información. COBIT debe considerarse un marco altamente efectivo y bien desarrollado que puede brindar beneficios importantes para alcanzar los objetivos de seguridad de la información. Los "controles" se definen como "las políticas, procedimientos, prácticas y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos de negocio y que se evitarán o detectarán los incidentes no deseados." "Objetivos de control" se definen como "una declaración del resultado deseado o propósito que se va a lograr mediante la implementación de procedimientos de co ntrol en un proceso en particular".
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información COBIT define el gobierno corporativo como "un conjunto de responsabilidades y prácticas, ejercidas por el consejo de dirección y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logran los objetivos, determinar que los riesgos se administran en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad." El marco COBIT establece 34 procesos para administrar y controlar la información y la tecnología que la soporta. Los procesos se dividen en cuatro dominios: •
•
Planear y Organizar—Este dominio abarca la estrategia y las tácticas, y se encarga de identificar la forma en la cual las TI pueden contribuir mejor a alcanzar los objetivos de negocio. Es más, la realización de la visión estratégica necesita planearse, comunicarse y administrarse para diferentes perspectivas. Por último, es preciso contar con una organización y una infraestructura tecnológica apropiadas. Adquirir e Implementar—Para concretar la estrategia de TI, es necesario identificar, desarrollar o adquirir soluciones de TI, e implementarlas e integrarlas en el proceso de negocio. Además, este dominio cubre los cambios y el mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Prestación del servicio y Soporte—Este dominio se encarga de la prestación efectiva de los servicios requeridos, que van desde operaciones tradicionales pasando por los aspectos de seguridad y continuidad hasta la capacitación. A fin de prestar los servicios, se tienen que establecer los procesos de soporte necesarios. Este dominio incluye el procesamiento real de datos por parte de sistemas de aplicación, que a menudo se clasifican como controles de aplicación. Monitorear y Evaluar—Todos los procesos de TI deben valorarse de manera periódica para determinar su calidad y cumplimiento con los requerimientos de control. Este dominio, por tanto, trata el monitoreo y la evaluación del desempeño de TI y mayor control por parte de la gerencia, garantizando el cumplimiento regulatorio y brindando vigilancia del gobierno de TI.
La Figura 1.10 (Ver presentación PPT) muestra una presentación gráfica de los controles y componentes del gobierno de seguridad.
Modelo de la Capacidad de Madurez ( CMM) El estado deseado de seguridad también puede definirse como alcanzar un nivel específico en el Modelo de la Capacidad de Madurez (CMM), tal como se muestra en la Figura 1.11 (Ver presentación PPT). Consiste en calificar cada área definida de seguridad sobre una escala de 0 a 5 con base en la madurez de los procesos. El enfoque se presenta con mayor detalle en el apéndice A. Los niveles de madurez se describen como: • • • • • •
0: Inexistente—No hay reconocimiento de la organizació n de necesidad de seguridad 1: Provisional—Los riesgos se consideran de modo provisional 2: Repetible pero intuitivo—entendimiento emergente del riesgo y la necesidad de la seguridad. 3: Proceso definido política—de gestión de riesgos/conciencia sobre la seguridad en toda la empresa. 4: Administrado pero cuantificable 5: Optimizado—procesos implementados, monitoreados y administrados en toda la organización.
Cuadro de Mando (Balanced Scorecard) El Cuadro de mando es un sistema de gestión (no sólo un sistema de medición) que permite a las organizaciones aclarar su visión y estrategia y llevarlas a cabo. Ofrece retroalimentación tanto sobre los procesos internos de negocio y los resultados externos para continuar mejorando el desempeño estratégico y los resultados. Cuando se utiliza en su totalidad, el Cuadro de mando transforma los planes estratégicos de un ejercicio académico en el centro neurálgico de una empresa.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información El Cuadro de mando, tal como se muestra en la Figura 1.12 (Ver presentación PPT), utiliza cuatro perspectivas, desarrolla métricas, recopila datos y los analiza con relación a cada una de las siguientes perspectivas: • • • •
Aprendizaje y crecimiento Proceso de negocio Cliente Finanzas
Enfoques Sobre la Arquitectura La Arquitectura de Seguridad de la Información en la Empresa (EISA) es un subconjunto de la arquitectura de la empresa. Una infraestructura se puede describir como una estructura fundacional, o conjunto de estructuras, que se puede utilizar para desarrollar una gran variedad de arquitecturas, incluida la arquitectura del proceso de negocio, que algunas veces se menciona como arquitectura contextual, así como las arquitecturas conceptuales, lógicas, físicas, funcionales y operacionales más tradicionales. Existen numerosas tecnologías que han evolucionado, incluidos los modelos de procesos, marcos y enfoques ad hoc que favorecen algunas consultorías. Esta evolución ocurrió al ser evidente que una perspectiva de arquitectura limitada a la TI era inadecuada para abordar el diseño del negocio y el desarrollo de los requerimientos de seguridad. En la actualidad, numerosos enfoques de arquitectura proporcionan los enlaces y el diseño del aspecto comercial de la protección de la información. Los enfoques de arquitectura con procesos de negocio que pudieran ser apropiados para definir el "estado deseado" de seguridad incluyen (pero no se limitan necesariamente a) modelos de marcos tales como: Marco de Arquitectura de Open Group (TOGAF), Marco de Arquitectura Empresarial Zachman, Arquitectura aplicada de Seguridad de Negocios de Sherwood (SABSA) y Marco de Arquitectura Empresarial Extendida (EA2F). Estos modelos pueden servir para definir la mayoría o la totalidad del "estado deseado" de la seguridad, siempre que se utilicen apropiadamente para reflejar e implementar la estrategia de seguridad de la organización. Consulte la sección 1.15.2. La arquitectura debe describir un método para diseñar un objetivo o estado deseado de la empresa en términos de un conjunto de componentes básicos y para mostrar cómo estos componentes se integran. La arquitectura objetivo se conoce como la arquitectura de referencia y sirve para establecer los objetivos más lejanos en el tiempo para el diseño técnico, de sistemas y procesos.
ISO/IEC 27001 y 27002 Para asegurarse de que todos los elementos relevantes de seguridad se tratan en una estrategia de seguridad organizativa, las 11 áreas renombradas de ISO/IEC 27002 (la sucesora de BS 7799-2) y 27002 (la sucesora actualizada de ISO/IEC 17799) pueden proveer un marco útil para evaluar la comprensibilidad. De igual forma, se deben crear estándares y políticas que permitan monitorear directamente cada uno de los elementos de la norma. Las 11 divisiones principales de ISO/IEC 27002 son: • • • • • • • • • • •
Política de seguridad Organización de seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de seguridad de la información Gestión de incidentes relacionados con la seguridad de la información Gestión de la continuidad del negocio Cumplimiento
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Cada una de las 11 divisiones principales se divide en 10 secciones que se deben tratar de forma apropiada como parte de una estrategia y arquitectura de seguridad integrales. No todas las secciones del estándar serán relevantes para una determinada organización y el estándar se debe adaptar según se requiera. Véase la Figura 1.13 (Ver presentación PPT) .
Otros Enfoques Existen otros enfoques y métodos que pueden ser útiles, tales como otros estándares ISO sobre la calidad (ISO 9001:2000), el método Six Sigma para la calidad y la gerencia del negocio, las publicaciones de NIST y ISF y la Ley Federal de los EUA para la Gestión de la Seguridad de la Información (FISMA). Algunas de éstos se enfocan más en procesos gerenciales y manejo de calidad que en objetivos de seguridad estratégicos. Sin embargo, un argumento válido podría ser que, si el objetivo de una estrategia de seguridad era implementar totalmente componentes relevantes de ISO/IEC 27001 y 27002, es probable que se cumpla con la mayoría de o todos los requerimientos de seguridad. Es probable que ése sea un enfoque innecesariamente costoso, y los estándares sugieran que se deben adaptar con cuidado a los requerimientos específicos de la organización que los está adoptando. Sin duda surgirán otras metodologías en el futuro que sean más eficaces que las que se mencionaron con anterioridad. Aquellas que se mencionaron no pretenden ser exhaustivas sino son tan sólo algunos de los enfoques de mayor aceptación para llegar a objetivos de seguridad de la información bien definidos. Puede ser de utilidad emplear una combinación de métodos para describir el "estado deseado" a fin de contribuir a la comunicación con otros y como una forma de contraverificar los objetivos para garantizar que se han incluido todos los elementos pertinentes. Por ejemplo, una combinación de objetivos de control COBIT, CMM, el cuadro de mando y un apropiado modelo arquitectónico sería una combinación altamente efectiva. Aun cuando pareciera una exageración, cada enfoque presenta un punto de vista diferente que en conjunto probablemente garantice que no se ha omitido ningún aspecto importante. Puesto que es improbable que una estrategia errónea dé como resultado un programa efectivo de seguridad, éste sería un enfoque prudente.
1.12.5 OBJETIVOS DE RIESGO Una de las principales aportaciones para definir el estado deseado será el enfoque que tenga la organización ante el riesgo y su apetito de riesgo, es decir, lo que la gerencia considera riesgo aceptable. Éste es otro paso crucial, ya que un riesgo aceptable definido determinará los objetivos de control u otras medidas de mitigación del riesgo utilizadas. A su vez, los objetivos de control serán decisivos para determinar el tipo, la naturaleza y el alcance de los controles y contramedidas que utilizará la organización para administrar el riesgo. La figura 1.14 (Ver presentación PPT) muestra la relación que existe entre los riesgos, las medidas de control y los c ostos de los controles. Si no se tiene una determinación razonablemente clara del riesgo aceptable, resulta difícil establecer si la seguridad de la información está alcanzando sus objetivos y si se ha utilizado el nivel apropiado de recursos. La gestión del riesgo operativo es un intercambio; si existe un riesgo que esté relacionado con tomar una determinada acción, existe también el riesgo de no llevarla a cabo. Además, los riesgos individuales interactúan de maneras muy complejas y si se mitiga un riesgo es casi un hecho que se incremente al menos uno de los demás riesgos en consecuencia. El riesgo siempre conlleva un costo, ya sea que se controle o no. El costo del riesgo se puede expresar como una Expectativa de pérdidas anuales (ALE), por ejemplo, la cantidad de pérdidas potenciales multiplicada por la probabilidad de ocurrencia mostrando el nivel óptimo de control. El diagrama ilustra el equilibrio entre el costo de los controles comparado con el costo de pérdidas, que muestra el nivel óptimo de control. La aceptación de algunos riesgos se puede cuantificar utilizando el enfoque de continuidad del negocio de desarrollar tiempos objetivo de recuperación (RTOs), de los cuales se proporcionan más detalles en los capítulos 2 y 5, Gestión de riesgos de la información y Gestión y respuesta a incidentes. Utilizar un enfoque resumido para determinar RTOs pudiera proporcionar información adecuada para el desarrollo de estrategias. Esto puede ser una determinación informal por parte de los dueños del proceso de negocio sobre la cantidad de tiempo que los sistemas críticos pueden permanecer inoperantes sin que esto tenga consecuencias graves para el negocio. Ello, a su vez, sentará la base para
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información aproximar los costos de lograr la recuperación. Si se considera muy alta, la iteración del proceso llegará a un momento de recuperación aceptable a un costo aceptable. Esto se p uede considerar como el riesgo aceptable. Desarrollar los objetivos de estrategia correctos por lo general requiere de un enfoque iterativo basado en un análisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptables. Es probable que reducir el nivel de riesgo aceptable sea más costoso. No obstante, el enfoque para alcanzar el estado deseado afectará también los costos de manera significativa. Por ejemplo, algunos riesgos pueden existir a causa de determinadas prácticas que no son necesarias o útiles para la organización, o que son, de hecho, perjudiciales para su operación. Esto puede incluir prácticas que podrían considerarse discriminatorias o contrarias a la ley, y presenta el riesgo de una demanda. Prácticas que, cuando se evalúan, pueden haberse derivado de actitudes o métodos obsoletos que pueden cambiarse de un modo eficiente a un bajo costo, lo cual resultará en la eliminación o mitigación del riesgo. En otras palabras, el enfoque para tratar riesgos específicos tiene un impacto significativo en los costos. Es preciso que el gerente de seguridad de la información sepa que los controles técnicos (por ejemplo, cortafuegos (firewalls), sistemas de detección de intrusos (IDS), etc.) son tan sólo una dimensión que debe considerarse. Los controles físicos, de procesos y procedimientos pueden ser más efectivos y menos costosos. En la mayoría de las organizaciones, los riesgos de procesos representan el peligro más grande y los controles técnicos probablemente no compensan adecuadamente la gestión deficiente o los procesos defectuosos. Una vez que se hayan definido claramente los objetivos, se tendrán varias maneras de desarrollar soluciones que variarán mucho en costo y complejidad. Independientemente del proceso que se utilice, el objetivo es definir, en términos significativos y concretos, el estado de seguridad general esperado en el futuro.
1.13 DETERMINACIÓN DEL ESTADO ACTUAL DE LA SEGURIDAD Es preciso determinar el estado actual de la seguridad de la información utilizando las mismas metodologías o la combinación de éstas que se aplicó para definir los objetivos de la estrategia o el estado deseado. En otras palabras, cualquiera que sea la combinación de metodologías, tales como COBIT, CMM o el Cuadro de mando, que se utilice para definir el estado deseado, deberá emplearse también para determinar el estado actual. Esto proporcionará una comparación equitativa entre los dos, lo que establecerá una base para realizar un análisis de brechas, que determinará lo que se necesita para alcanzar los o bjetivos. Utilizar la misma metodología con regularidad proporcionará las métricas sobre el avance en el cumplimiento de los objetivos, así como un nivel mínimo (baseline) de seguridad.
1.13.1 RIESGO ACTUAL El estado de riesgo actual se debe determinar mediante una evaluación integral de riesgos. Así como deben establecerse los objetivos de riesgo como parte del estado deseado, así debe determinarse el estado actual del riesgo para establecer la base para realizar un análisis de brechas de los riesgos que existen y hasta qué grado debe incluirse en la estrategia. Una evaluación completa de riesgos incluye análisis de amenazas y vulnerabilidades que de manera individual proporcionen información útil para desarrollar una estrategia. Puesto que los riesgos pueden tratarse de distintas formas, por ejemplo, modificando la conducta riesgosa, desarrollando contramedidas para las amenazas, reduciendo las vulnerabilidades o desarrollando controles, esta información dará el fundamento para determinar la estrategia más rentable para tratar los riesgos. Las evaluaciones periódicas adicionales servirán para proporcionar las mediciones necesarias para determinar el progreso.
Evaluación/Análisis de Impacto al Negocio La evaluación del estado actual también debe incluir un BIA exhaustivo para ayudar a terminar de conformar la imagen del estado actual. Puesto que el objetivo final de la seguridad es brindar confianza en el proceso de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos, un análisis de impacto arrojará parte de la información que se
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información requiere para desarrollar una estrategia efectiva. La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.
1.14 ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN Con la información tratada en la sección anterior, se puede desarrollar una estrategia de seguridad significativa— una estrategia para ir del estado actual al estado deseado. Saber dónde nos encontramos y hacia dónde nos dirigimos proporciona un punto de partida esencial para el desarrollo de la estrategia; facilita el marco para crear un plan de acción. El plan de acción corresponde esencialmente a lo s pasos que se deben dar para implementar la estrategia. Un conjunto de objetivos de seguridad de la información junto con procesos, métodos, herramientas y técnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad. Una buena estrategia de seguridad debe tratar y mitigar riesgos y al mismo tiempo cumplir con los requerimientos legales, contractuales y regulatorios del negocio, así como brindar un apoyo comprobable a los objetivos de la organización y maximizar el valor para aquellos que tengan algún interés en la organización. La estrategia de seguridad también necesita considerar de qué manera la organización va a incluir prácticas sanas de seguridad en cada uno de los procesos y áreas de negocio. A menudo, aquellos responsables de desarrollar una estrategia de seguridad piensan en términos de controles como los medios para implementar la seguridad. Los controles, aun cuando son importantes, no son el único elemento con el que cuenta un estratega. En algunos casos, por ejemplo, llevar a cabo la reingeniería de un proceso puede reducir o eliminar un riesgo sin que sean necesarios los controles. O bien, es posible mitigar el posible impacto si se modifica la arquitectura en vez de los controles. Se debe de considerar que, en ocasiones, mitigar los riesgos puede reducir las oportunidades a un extremo contraproducente. En última instancia, la meta de la seguridad es el aseguramiento del proceso de negocio, independientemente del negocio del que se trate. Aun cuando el negocio de una dependencia gubernamental no resulte de manera directa en ganancias, continúa estando en el negocio de brindar servicios rentables a sus ciudadanos y tiene que seguir protegiendo los activos que se le han dado en custodia. Cualquiera que sea el negocio del que se trate, su meta operativa primaria es maximizar el éxito de los procesos de negocio y minimizar los impedimentos para ejecutar esos procesos.
1.14.1 ELEMENTOS DE UNA ESTRATEGIA ¿Qué debe incluir una estrategia de seguridad? Ya se han definido el punto de partida y el destino. Lo siguiente que hay que considerar es qué recursos están disponibles y cuáles son las limitaciones que deben considerarse cuando se desarrolle una directriz. Los recursos son los mecanismos que se utilizarán para alcanzar varias partes de la estrategia que presentan limitaciones.
Plan de Acción El plan de acción típico para al canzar un estado deseado seguro y definido incluye personas, procesos, tecnologías, entre otros recursos. Sirve para delinear las rutas y los pasos necesarios para "navegar" hacia los objetivo de la estrategia. Es probable que la interacción y la relación entre los diferentes elementos de una estrategia sean complejos. Por esa razón, es prudente considerar las etapas iniciales del desarrollo de una arquitectura de seguridad, como las descritas en la sección 1.15.2. Las arquitecturas pueden ofrecer un enfoque estructurado para definir los impulsores de negocio, las relaciones de recursos y los flujos de procesos. Una arquitectura también puede ayudar a asegurar que los elementos contextúales y conceptuales, como los impulsores de negocio y las consecuencias, se incluyan en la etapa de desarrollo de la estrategia. Alcanzar el estado deseado será una meta a largo plazo de una serie de proyectos e iniciativas. Tal como sucede con la mayoría de los proyectos grandes y complejos, será necesario desglosarlos en varios proyectos a corto plazo que puedan lograrse en un tiempo razonable, dadas las inevitables limitaciones de recursos y a los ciclos presupuestarios. Toda la directriz puede y debe trazarse, teniendo en consideración que no existe un estado fijo para la seguridad de la
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información información y al paso del tiempo será necesario modificar algunos objetivos. Algunos objetivos, tales como alcanzar un determinado nivel de madurez, realizar la reingeniería de procesos de alto riesgo o lograr objetivos de control específicos, tal vez no requieran de ninguna modificac ión. Los proyectos a menor plazo que alineados con los objetivos a largo plazo pueden ayudar a proporcionar controles y oportunidades para hacer correcciones a la mitad del camino. También brindarán métricas para validar la estrategia en su conjunto. Por ejemplo, un objetivo a largo plazo definido en la estrategia puede ser la clasificación de datos con base en la confidencialidad y criticidad. Dada la magnitud del esfuerzo que se necesita en una gran organización, es probable que se requieran varios años para su realización. La estrategia puede incluir el requerimiento para determinar que el objetivo que deberá completarse cada año fiscal será el 25 por ciento de los datos utilizando varios enfoques tácticos. Un segundo componente de la estrategia podría ser elaborar políticas y estándares que excluyan las prácticas que dan lugar al problema, para que no se agrave mientras se ejecuta el proceso de corrección. Más adelante se presenta un ejemplo de un plan de acción a corto plazo para cumplir con este objetivo en la sección 1.19. El desarrollo de una estrategia para alcanzar objetivos a largo plazo y la directriz para llegar hasta ellos, junto con metas intermedias a menor plazo, establecerá la base para elaborar políticas y estándares sólidos en apoyo a este esfuerzo.
1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIÓN GENERAL Las siguientes subsecciones describen los recursos típicos de implementación de una estrategia de seguridad de la información y algunas de las limitaciones que se deben considerar.
Recursos Los recursos con los que cuenta la organización deberán ser cuantificados y considerados cuando se desarrolle una estrategia de seguridad. En la medida en que sea posible, la estrategia debería utilizar los recursos disponibles a fin de aprovechar al máximo el uso de los activos y las capacidades existentes. Estos recursos pueden considerarse los mecanismos que están disponibles, en una combinación óptima, para alcanzar el estado deseado de seguridad al paso del tiempo. Por lo general, los siguientes: • • • • • • • • • • • • • • • • • • • • •
Políticas Estándares Procedimientos Directrices Arquitectura(s) Controles físicos, técnicos y de procedimientos Contramedidas Defensas en capas Tecnologías Seguridad del personal Estructura organizacional Roles y responsabilidades Habilidades Capacitación Concienciación y formación Auditorías Exigencia de cumplimiento Análisis de amenazas Análisis de vulnerabilidades Evaluación de riesgos Análisis de impacto al negocio
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • •
Análisis de la dependencia de recursos Proveedores externos de seguridad Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad en el entorno
Limitaciones También existen varias limitaciones que deberán considerarse cuando se desarrolle una estrategia de seguridad y el plan de acción posterior. A continuación se enlistan las limi taciones más comunes: • • • • • • • • • • •
Legal—Leyes y requerimientos normativos Físicas—limitaciones en la capacidad, espacio y ambiente Ética—apropiadas, razonables y habituales Cultura—tanto dentro como fuera de la organización Costos—tiempo, dinero Personal—resistencia al cambio y resentimiento contra nuevas limitaciones Estructura organizacional—Cómo se toman las decisiones y quién lo hace, protección territorial Recursos—de capital, tecnológicos y humanos Capacidades—conocimiento, capacitación, habilidades y conocimientos especializados Tiempo—ventana de oportunidad y cumplimiento forzoso Tolerancia al riesgo—amenazas, vulnerabilidades e impactos
Algunas de las limitaciones, tales como la ética y la cultura, pueden tratarse para el desarrollo del estado deseado. Otras surgirán como consecuencia de desarrollar el plan de acción y la directriz.
1.15 RECURSOS DE LA ESTRATEGIA Existe un gran número de recursos que están disponibles para desarrollar una estrategia de seguridad de la información; sin embargo, variarán dependiendo de cada organización. El gerente de seguridad de la información debe estar al tanto de los recursos que están disponibles y ser consciente de que podrían existir otras razones tanto culturales como de otro tipo por las cuales determinadas opciones quedarán descartadas, por ejemplo, la renuencia mostrada por la gerencia a cambiar o modificar las políticas.
1.15.1 POLÍTICAS Y ESTÁNDARES Existe una amplia gama de interpretaciones para las políticas, estándares, procedimientos y directrices. Las definiciones utilizadas en este documento coinciden con los principales órganos normativos y deben ad optarse para evitar problemas de comunicación. Tanto las políticas como los estándares se consideran herramientas de gobierno y gestión, respectivamente, mientras que los procedimientos y directrices son del ámbito de las operaciones. Para mayor claridad, los cuatro se definen en las siguientes s ecciones.
Políticas Las políticas son las declaraciones de alto nivel de la intención, las expectativas y la dirección de la gerencia. Un ejemplo de una declaración de política sobre el control de acceso puede ser la siguiente: Los recursos de información deberán controlarse de un modo que restrinjan efectivamente el acceso no autorizado. La política se puede considerar la "constitución" del gobierno de la seguridad.
Estándares Las normas en este contexto son las mediciones, los límites permisibles o los procesos usados para determinar si los procedimientos, procesos o sistemas cumplen con los requerimientos de la política. Un estándar para contraseñas (passwords) utilizada para efectos de control de acceso sería: Las contrasenas (passwords) para dominios de seguridad media y baja deberán contener un mínimo de ocho caracteres que constarán de una combinación de letras minúsculas y
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información mayúsculas, al menos un número y un signo de puntuación. La norma para el control de acceso de empleados en las instalaciones puede incluir requerimientos de composición de contraseñas, longitud mínima y máxima de éstas, frecuencia de cambios de contraseñas y reglas para volver a utilizarlas. Por lo general, una norma debe establecer parámetros suficientes para determinar sin ambigüedad que un procedimiento o práctica cumple con los requerimientos de la política en cuestión. Los estándares se deben redactar cuidadosamente, de manera que especifiquen sólo los límites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estándares se deben redactar cuidadosamente, de manera que especifiquen sólo los límites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estándares deben cambiar a medida que cambian los requerimientos y las tecnologías. En una organización madura, las políticas pueden permanecer bastante estáticas. Por lo regular existen múltiples estándares para cada política, dependiendo del dominio de seguridad. Por ejemplo, el estándar de contraseña sería más restrictivo cuando se acceda a dominios de alta seguridad.
Procedimientos Los procedimientos son responsabilidad de operaciones, incluyendo operaciones de seguridad, pero se incluyen en este manual para brindar mayor claridad. Los procedimientos deben ser claros e incluir todos los pasos necesarios para cumplir con tareas específicas. Deben definir resultados y exposiciones esperados, así como las condiciones requeridas para su ejecución. Los procedimientos también deben incluir los pasos que se requieren cuando ocurren resultados inesperados. Los procedimientos deben ser claros, sin ambigüedades, y los términos deben ser exactos. Por ejemplo, las palabras "debe", "deberá" y "hará" tendrán que utilizarse para cualquier tarea que sea obligatoria. La palabra "debería" se utiliza para referirse a una acción preferida que no es obligatoria. Los términos "pudiera" o "puede" sólo se deben utilizar para denotar una acción puramente discrecional. Las tareas discrecionales sólo deberían aparecer en los procedimientos, cuando sea necesario, ya que diluyen el mensaje del procedimiento. Los procedimientos para contraseñas incluyen los pasos detallados que se requieren para configurar cuentas de contraseñas y los pasos para cambiar o reiniciar las contraseñas.
Directrices Las directrices para ejecutar procedimientos también son responsabilidad de operaciones. Deben de contener información que ayude a ejecutar los procedimientos. Pueden incluir dependencias, sugerencias y ejemplos, notas aclaratorias de los procedimientos, antecedentes que pueden ser de utilidad, herramientas que pueden utilizarse, etc. Las directrices pueden ser útiles en muchas otras circunstancias pero se han incluido en este manual en el contexto del gobierno de la seguridad de la información.
1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIÓN Aunque aún no es la norma, una arquitectura de seguridad de la información puede ser una poderosa herramienta de integración como elemento de la estrategia. En general, no se tiene un entendimiento de lo que constituye una arquitectura de seguridad y de qué manera puede ser importante para el desarrollo y la implementación de una estrategia de seguridad. En muchos sentidos, la arquitectura de la seguridad de la información es análoga a la arquitectura de los edificios. Comienza como un concepto, un conjunto de objetivos de diseño que deben cumplirse (p.ej. la función que tendrá, si será un hospital, una escuela, etc.). Después se transforma en un modelo, una aproximación en borrador de la visión creada a partir de la materia prima (léase: servicios). A esto sigue la preparación de programas detallados o herramientas que se utilizarán para transformar la visión/modelo en un producto real y terminado. Por último, está el edificio en sí mismo, la realización o resultado de las etapas previas. Dado el creciente número de personal de seguridad en la mayoría de las organizaciones, el incremento en los riesgos cibernéticos y las pérdidas cada vez mayores en conjunto con un aumento en las presiones regulatorias y una administración de seguridad más problemática, resulta sorprendente que la arquitectura de seguridad haya tenido en
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información general un impacto menor en los esfuerzos de seguridad de una empresa. Ello puede deberse en gran medida al hecho de que unas cuantas organizaciones cuentan con lo que puede denominarse una arquitectura de seguridad o, en realidad, ni siquiera tienen una estrategia de segur idad en la cual basar dicha arquitectura. El hecho de que las organizaciones no adopten un concepto de arquitectura de seguridad parece tener varias causas identificables. Una de ellas es que dichos proyectos son costosos y de ejecución lenta, y se tiene un escaso o nulo entendimiento o apreciación en casi todos los niveles de la organización de la necesidad o los posibles beneficios. Puede ser también que no existan muchos arquitectos competentes que cuenten con una experiencia suficientemente vasta para tratar la amplia gama de aspectos que son necesarios para garantizar que se obtendrá un grado razonable de éxito. El efecto de esta falta de "arquitectura" al paso del tiempo ha sido tener una integración de seguridad menos funcional y una mayor vulnerabilidad en la empresa al mismo tiempo que la seguridad técnica ha mostrado una mejora significativa. Esta falta de integración contribuye a aumentar la dificultad de gestionar los esfuerzos de seguridad de la empresa de modo efectivo. La arquitectura de seguri dad se cubre más ampliamente en la unidad 3. Actualmente existen diversos marcos y procesos de arquitectura y algunos de los más predominantes se referencian a continuación. La arquitectura de seguridad de la información también se trata más ampliamente en la unidad 3. Algunos de estos enfoques son similares y han evolucionado a partir del desarrollo de la arquitectura empresarial. Por ejemplo, el enfoque del marco Zachman de desarrollar una matriz de quién, qué, por qué, dónde, cuándo y cómo también es utilizado por SABSA y EA2F. Ver la Figura 1.15 (Ver presentación PPT). Los objetivos de los diversos enfoques son esencialmente iguales. El marco detalla la organización, los roles, las entidades y las relaciones que existen o deberían existir para llevar a cabo un conjunto de procesos de negocio. El marco debe proveer una taxonomía rigurosa que identifique claramente los procesos que realiza un negocio e información detallada sobre cómo se ejecutan y aseguran esos procesos. El producto final es un conjunto de elementos que describen, en diferentes grados de detalle, exactamente qué y cómo opera un negocio y cuáles controles de seguridad se requieren. La elección de los enfoques puede ser limitada por un estándar organizacional existente, pero si no existe uno, la elección se debe hacer basándose en la forma, el ajuste y la función. En otras palabras, un enfoque particular puede ser más consistente con las prácticas organizacionales existentes o puede ser más adecuado para una situación en particular. Los diferentes enfoques también pueden implicar esfuerzos y recursos considerablemente mayores. Algunos están más orientados o limitados a arquitecturas téc nicas y no serán adecuados para efectos d e gobierno.
Marcos Alternativos de Arquitectura Empresarial Además de los enfoques mencionados, otros enfoques relacionados con la arquitectura de seguridad incluyen los siguientes (la elección de un enfoque de arquitectura se debe basar en factores como la forma, el ajuste, la función, y quizás, enfoques obligatorios en ciertas organizaciones): • • • • • • • • • •
Marco de Arquitectura Integrada de Capgemini Marco de Arquitectura del Ministerio de Defensa del Reino Unido (MODAF) Marco de Arquitectura Empresarial NIH Arquitectura de Seguridad Abierta Marco de Modelado Orientado a Servicios (SOMF) El Marco de Arquitectura de Open Group (TOGAF) AGATE French Délégation Générale pour l'Armement Atelier de Gestion de l'ArchiTEcture des systèmes d'information et de communication Marco de Arquitectura del Departamento de Defensa de los Estados Unidos (DoDAF) Prestación Interoperable (de servicios gubernamentales europeos a público) Administraciones, Empresas y Ciudadanos (IDABC) Arquitectura Empresarial Federal de la Oficina de Gestión y Presupuesto de los Estados Unidos (FEA)
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • • • •
Arquitectura Basada en Modelos (MDA) del Object Management Group Metodología y Marco de Negocios y TI OBASHI (OBASHI) Marco Completo de SABSA para la Arquitectura de Seguridad Empresarial y la Gestión de Servicios Marco de IBM de Zachman (marco de los años 1980) Marco de Arquitectura Empresarial SAP, una extensión del TOGAF, para respaldar mejor los programas comerciales ya disponibles y la Arquitectura Orientada a Servicios Método para un Ambiente de Conocimiento Integrado (MÏKE2.0), que incluye un marco de arquitectura empresarial denominado Arquitectura Estratégica para la Empresa Federada (SAFE)
La Figura 1.16 (Ver presentación PPT) ilustra el proceso de la arquitectura TOGAF y su relación con las operaciones del negocio.
1.15.3 CONTROLES Los controles se definen como las políticas, procedimientos, prácticas, y estructuras organizacionales que están diseñados para brindar una confianza razonable de que se alcanzarán los objetivos de negocio y que se evitarán, o bien, detectarán y corregirán los incidentes no deseados. Los controles son el componente principal que se debe tener en cuenta cuando se desarrolla una estrategia de seguridad de la información. Pueden ser físicos, técnicos o de procedimientos y su elección debe basarse en diversos factores, entre otros, que se garantice su efectividad, que no sean demasiado costosos o restrictivos para las actividades de negocio o cuál será la forma óptima de control.
Controles de TI COBIT se enfoca en los controles de TI que pueden constituir la mayoría de aquellos que se requieren en muchas organizaciones. Posiblemente, COBIT sea uno de los enfoques más desarrollados e integrales para determinar los objetivos de control para TI y su posterior imp lementación y gestión. COBIT define los objetivos de control como "una declaración del resultado o propósito deseado que se alcanzará mediante la implementación de procedimientos de control e n una determinada actividad de TI."
Controles que no Están Relacionados con TI El gerente de seguridad de la información debe saber que también es preciso desarrollar controles de seguridad de la información para procesos de información que no están relacionados con TI. Esto incluye requerimientos de etiquetado, manejo y almacenamiento de la información f ísica en condiciones seguras. Debe considerar el manejo y la prevención de ingeniería social. De igual forma, deben tenerse en cuenta los controles ambientales para que los sistemas seguros no sean objeto de robo, tal como ha sucedido en algunos casos muy sonados.
Defensas por Niveles La defensa por capas o defensa en profundidad es un concepto importante y efectivo en el diseño de una estrategia o arquitectura de seguridad de la i nformación. Las capas se deben diseñar de manera que la causa del fallo de una capa no cause también el fallo de la siguiente capa. El número de capas necesarias dependerá de la confidencialidad y criticidad de los activos así como de la confiabilidad de las defensas. Es probable que una dependencia excesiva en un solo control genere un falso sentido de confianza. Por ejemplo, una compañía que depende exclusivamente de un cortafuego (firewall) aún puede ser objeto de numerosas metodologías de ataque. Una defensa adicional puede ser la creación, mediante la formación y la concienciación, de un "cortafuego (firewall) humano" que pueda llegar a constituir una capa crucial de defensa. Segmentar la red puede constituir otra capa defensiva.
1.15.4 CONTRAMEDIDAS Las contramedidas son las medidas de protección que reducen el nivel de vulnerabilidad a las amenazas. Las contramedidas simplemente se pueden considerar controles dirigidos.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Las contramedidas a las amenazas deben de considerarse desde una perspectiva estratégica. Pueden ser pasivas o activas, pero en muchos casos pueden llegar a ser más efectivas y menos restrictivas que los controles generales. Una contramedida pudiera consistir en hacer que sólo se pueda acceder a la información más sensible desde una subred independiente, que no esté accesible desde el exterior, o bien, podría consistir en cambiar a un sistema operativo inherentemente más seguro o evitar que los sistemas inseguros se conecten a la red.
1.15.5 TECNOLOGÍAS Existen varias tecnologías que cuentan con mecanismos de seguridad, los cuales pueden desempeñar una función clave en el éxito de la estrategia de seguridad de una organización. Estas tecnologías se tratarán con mayor detalle la unidad 3, “Desarrollo de un programa de seguridad de la i nformación”. Las últimas décadas han sido testigo del desarrollo de numerosas tecnologías de seguridad para contrarrestar las amenazas en constante aumento a las que están expuestos los recursos de información. La tecnología es una de las piedras angulares de una estrategia de seguridad efectiva. El gerente de seguridad de la información debe familiarizarse con la forma en la que estas tecnologías pueden funcionar como controles para alcanzar el "estado deseado" de seguridad. Sin embargo, la tecnología no compensará por las deficiencias gerenciales, culturales u operativas, por lo que el gerente de seguridad de la información debe tener cuidado de no depender demasiado de estos mecanismos. Tal como se muestra en la Figura 1.17 (Ver presentación PPT), para alcanzar defensas efectivas contra incidentes relacionados con la seguridad, es preciso utilizar la tecnología con una combinación de políticas, estándares y procedimientos. Algunas de las tecnologías típicas que están disponibles son las siguientes. • • • • • • • • • • • • • • • • •
Tecnología para cortafuegos Administración de cuentas de usuarios Detección de intrusos y tecnología de prevención de intrusos Tecnología antivirus PKI Tecnología biométrica Tecnología de cifrado Tecnología de conformidad de privacidad Tecnología de acceso remoto Tecnología de firma digital Tecnología EDI y EFT Tecnología VPN Tecnología forense Tecnologías de monitoreo Tecnologías de lectura y correlación de logs Tecnología de clasificación de datos Tecnologías de escaneo del contenido de documentos y co rreos electrónicos
Existen varias otras tecnologías que pueden ser relevantes para una determinada estrategia. Dado el continuo y rápido desarrollo de la tecnología en este ámbito, un gerente de seguridad de la información prudente utilizará los recursos que estén disponibles para mantenerse actualizado en los último s desarrollos.
1.15.6 PERSONAL La seguridad del personal es un área importante que el gerente de seguridad de la información debe considerar como un medio preventivo de proteger a una organización. Puesto que las exposiciones al daño más costosas y peijudieiales son casi siempre el resultado de actividades iniciadas desde el interior, ya sean intencionales o accidentales, la primera línea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso. Las tradicionales investigaciones limitadas de antecedentes pueden proporcionar indicadores de características negativas;
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información sin embargo, debe tenerse en consideración que el alcance de dichas investigaciones puede verse limitado por leyes de privacidad o de otro tipo, sobre todo en las naciones de la Unión Europea. Además, el alcance y la naturaleza de las investigaciones de antecedentes deben ser pertinentes y proporcionales a la sensibilidad y criticidad de los requerimientos de la posición que se tiene. Por ejemplo, una investigación de antecedentes exhaustiva de una recepcionista pudiera considerarse una invasión no justificada a la privacidad. Es preciso considerar las regulaciones sobre la privacidad en la jurisdicción de la que se trate, en virtud de que éstas varían mucho en los diferentes países. Sin embargo, se deben tener en cuenta los controles que tienen por objetivo tanto prevenir que se emplee a personal que probablemente ocasione daños a la organización como dar indicios constantes de exploración de problemas emergentes o posibles co n personal existente. Es necesario desarrollar métodos para detectar casos de hurto o robo y estos incidentes deben investigarse y monitorearse cuando sea factible. La aparición de lo que pudiera considerarse incidentes menores puede ser un indicio de una situación más grave. También puede ser un indicador de personal que pudiera estar involucrado en actividades ilícitas o deshonestas. Si es política de una organización que el correo electrónico no sea privado y que pueda ser inspeccionado por la compañía, y los empleados tienen pleno conocimiento de dicha política, puede ser conveniente considerar la supervisión del correo electrónico del personal que haya sido identificado como problema potencial. Las protecciones legales varían en este tipo de control y es responsabilidad del director de seguridad estar al tanto de los requerimientos legales de la jurisdicción de la que se trate. Asimismo, puede ser prudente desarrollar políticas y estándares de investigación de antecedentes que Los departamentos de HHRR y legal de la organización deben reviser los aspectos anteriores. La alta dirección también deberá revisar estas políticas para determinar su congruencia con el enfoque de cultura y gobierno de la organización.
1.15.7 ESTRUCTURA ORGANIZACIONAL Las estructuras jerárquicas de los gerentes de seguridad de la información son sumamente variables. En la mayoría de las organizaciones, aun cuando esto suele ser adecuado en términos funcionales, podría no ser la estructura ideal en términos de seguridad de la información y la alta dirección debe evaluarla como parte de sus responsabilidades de gobierno. Existen muchas razones para ello. Una es que los requerimientos cada vez más extensos de seguridad de la información superan el ámbito del CIO. Otra razón es el inherente conflicto de intereses. Debido a los esfuerzos por garantizar la seguridad, a menudo la seguridad de la información se percibe como una limitación para las operaciones de TI. Los CIO y sus departamentos de TI suelen estar bajo presión para incrementar el desempeño y reducir los costos. La seguridad con frecuencia es la víctima de estas presiones. Por último, para que la seguridad de la información sea efectiva, la seguridad tiene que estar más alineada con el negocio que con la tecnología.
Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Información La composición cultural de una organización es un factor determinante para saber si la organización de la seguridad es más efectiva si se utiliza un enfoque centralizado o descentralizado. Aun cuando se pueden obtener muchos beneficios a través de la centralización y estandarización de la seguridad, con frecuencia la estructura de una organización lo hace un enfoque ineficiente. Las compañías multinacionales que eligen un enfoque centralizado deben considerar cuidadosamente diferentes requerimientos legales locales en cada país en que tengan presencia. Por ejemplo, algunos países podrían no permitir que los datos de negocios se almacenen o procesen fuera de las fronteras nacionales; algunos gobiernos pueden recaudar impuestos como una retención de impuesto por el software o hardware utilizado por las entidades dentro de su jurisdicción, independientemente de la ubicación física del software o hardware. Un ejemplo sería una organización que ha crecido a través de adquisiciones y opera más como entidades independientes que como una sola entidad. En esta situación, es común que existan grupos de tecnologías de información separados junto con software y hardware diferentes. En este ejemplo, sería común que existieran
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información diferentes organizaciones de seguridad con enfoques, políticas y procedimientos independientes. En estas situaciones, aún se podrían obtener beneficios para crear un solo conjunto de políticas de seguridad generales para toda la empresa, para resolver entonces diferencias locales mediante estándares y procedimientos locales. Un proceso de seguridad descentralizado tiene ventajas en cuanto a que los administradores de la seguridad por lo general están más cerca de los usuarios y comprenden mejor los problemas locales. A menudo, pueden responder con mayor rapidez a las solicitudes de cambios en privilegios de acceso o incidentes de seguridad. Sin embargo, también existen desventajas. Por ejemplo, la calidad del servicio podría variar dependiendo de la ubicación, con base en el nivel de capacitación que tenga el personal local y el grado al cual se les pudiera cargar con otras obligaciones no relacionadas. Podrían existir diferentes enfoques y técnicas que se utilizan para la seguridad, dependiendo de si se adopta un enfoque centralizado o descentralizado; sin embargo, las responsabilidades y objetivos de la seguridad no cambiarán. Las estrategias y objetivos deben: • • • • • • •
Estar debidamente alineados con los objetivos de negocio; Contar con el patrocinio y aprobación de la alta dirección; Contar con actividades de monitoreo; Contar con presentación de información y manejo de crisis; Contar con procedimientos de continuidad organizacional; Contar con gestión de riesgos; Contar con programas apropiados de concienciación y capacitación sobre la seguridad.
1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS Con la cantidad de tareas que deben llevar a cabo los empleados hoy en día, es importante que la estrategia incluya un mecanismo que defina todos los roles y responsabilidades de seguridad y que los incluya en las descripciones de puesto de los empleados. En última instancia, si a los empleados se les paga con base en su cumplimiento para llevar a cabo sus responsabilidades laborales, existen mayores probabilidades de que se alcancen los objetivos del gobierno de la seguridad. El desempeño laboral y los objetivos anuales del empleado se pueden incluir en las mediciones relacionadas con la seguridad. El gerente de seguridad de la información debe coordinarse con el director de personal para definir los roles y las responsabilidades de seguridad. Las capacidades relacionadas que se requieren para cada puesto de trabajo también deben estar definidas y documentadas.
1.15.9 HABILIDADES Las habilidades que se requieren para implementar una estrategia de seguridad son un elemento importante. Es probable que elegir una estrategia que utilice las habilidades con las que ya se cuenta sea una opción más rentable. Tener un inventario de las habilidades o competencias ayudaría a determinar los recursos que están disponibles para desarrollar una estrategia de seguridad. Asimismo, las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitación.
1.15.10 CONCIENCIACIÓN Y FORMACIÓN La capacitación, la formación y la concienciación son elementos fundamentales para la estrategia en su conjunto, ya que la seguridad con frecuencia es más débil al nivel del usuario final. Es aquí también donde se debe considerar la necesidad de desarrollar métodos y procesos que permitan que las políticas, estándares y procedimientos sean más fáciles de seguir, implementar y monitorear. Un programa recurrente de concienciación sobre la seguridad dirigido a los usuarios finales refuerza la importancia de la seguridad de la información y en la actualidad varias jurisdicciones lo han establecido como requerimiento por ley para varios s ectores.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información En la mayoría de las organizaciones, la evidencia indica que la mayor parte del personal no conoce las políticas ni los estándares de seguridad ni siquiera cuando éstas existen. Los programas de concienciación y capacitación pueden lograr que se reconozca de un modo generalizado que la seguridad es importante para la organización. Puesto que la seguridad depende en gran medida del cumplimiento individual, es importante que se cuente con un programa robusto de concienciación sobre la seguridad y es un elemento que se tiene que considerar cuando se desarrolle una estrategia. De acuerdo con algunos estudios, mejorar la concienciación y la capacitación sobre seguridad ha resultado, en muchas ocasiones, en la mejora más rentable en la seguridad en su conjunto. La Figura 1.18 muestra la relación entre riesgo y el programa de concientización. A medida que se crea conciencia y se capacitaba al personal, el riesgo se reducía conforme se les enseñaba el valor de los activos, los riesgos, y tomaban acciones para protegerlos. Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitación pueden mejorar en gran medida la eficiencia de la seguridad en una organización. El reto consiste en determinar cuáles son las habilidades "apropiadas" que es necesario mejorar y cómo para brindar una protección efectiva contra una variedad al parecer interminable de riesgos a los que está expuesta la seguridad. Puede ser difícil y costoso encontrar empleados que tengan la combinación necesaria de habilidades de seguridad que resulte efectiva en los ambientes diversos y siempre cambiantes de hoy en día y el complejo clima regulatorio. Una forma en la cual algunas organizaciones intentan asegurar que se cuente con todas las habilidades necesarias es contratando a gente sobrecalificada. El problema con este enfoque es que resulta costoso contratar y retener a estas personas, y al no recibir retos, a menudo se sienten insatisfechas con el puesto. Esto puede conducir a una rotación excesiva de empleados, actitudes improductivas o desempeño por debajo de los niveles aceptados. Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad específicos tanto existentes como emergentes puede ser una opción más rentable. Éste es un argumento sólido para un programa en curso de capacitación dirigido a satisfacer las necesidades de la organización y, al mismo tiempo, establecer una ruta de desarrollo profesional para los empleados con base en una mejora continua. Sin embargo, para que la capacitación sea una opción efectiva tiene que estar dirigida a sistemas, procesos y políticas específicos, a la forma única y específica de la organización para hacer negocio, así como a su "contexto de seguridad" particular. Cualquier cosa menos de eso es probable que sea inadecuada; cualquier cosa más de eso desperdiciará recursos. Si se ejecuta debidamente, el enfoque puede integrarse perfectamente a los programas e iniciativas existentes, apoyar áreas deficientes y alinear los procesos de seguridad con los procesos de negocio.
1.15.11 AUDITORÍAS Las auditorías, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la i nformación desde una perspectiva de controles y cumplimiento. Casi siempre el departamento de finanzas lleva a cabo las auditorías externas pero es común que no revisen la seguridad de la información. Dado que estas auditorías pueden ser una herramienta de monitoreo altamente efectiva para el gerente de seguridad de la información, es importante garantizar que el departamento de seguridad tenga acceso a esta información. Como sucede con otros departamentos, es importante que el gerente de seguridad de la información desarrolle una buena relación de trabajo con el departamento de finanzas a fin de facilitar el flujo de información que es esencial para una gestión efectiva de la seguridad. Debido al incremento de la supervisión de las entidades reguladoras, muchas organizaciones tienen que presentar diversos informes de auditoría y otros tipos de reportes ante las agencias reguladoras. Muchos reportes tienen implicaciones sobre la seguridad de la información que pueden proporcionar conocimientos útiles e información de monitoreo al gerente de seguridad de la información. Por ejemplo, de acuerdo con las disposiciones de cumplimiento de la Ley Sarbanes-Oxley de los EUA, los controles financieros de las compañías públicas se deben someter a prueba
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información anualmente en un plazo de 90 días a partir de la presentación de la información financiera ante la Comisión de la Bolsa de Valores de los EUA (SEC). Es importante que el gerente de seguridad de la información tenga acceso a los resultados de estas pruebas y éstos deben formar parte de las consideraciones sobre la estrategia.
1.15.12 EXIGENCIA DE CUMPLIMIENTO Las violaciones a la seguridad son una preocupación constante para los gerentes de seguridad de la información y es importante que se desarrollen procedimientos para manejarlas. Es fundamental que estos procedimientos cuenten con la aprobación y respaldo de la alta dirección, sobre todo, en lo que respecta a exigir su cumplimiento. A menudo los gerentes de seguridad han encontrado que los mayores problemas de cumplimiento tienen que ver con la gerencia. Si la gerencia no muestra compromiso ni cumplimiento, será difícil, si no imposible, exigir el cumplimiento de dichos procedimientos en la organización. El enfoque más efectivo de cumplimiento en una organización donde la apertura y la confianza son valoradas y promovidas por la gerencia es probablemente un sistema de auto-reporte y cumplimiento voluntario, basándose en el entendimiento de que la seguridad es claramente para el beneficio de todos. Este enfoque también suele requerir que estos procesos se planifiquen cuidadosamente, se comuniquen claramente y se implementen en cooperación. Cómo llevar esto a cabo será un elemento de la estrategia.
1.15.13 ANÁLISIS DE AMENAZAS El análisis de amenazas es un componente del análisis de riesgos y el resultado es un elemento crucial de la estrategia. La estrategia debe tener en cuenta los tipos, la naturaleza y la magnitud de las amenazas cuando se desarrollen contramedidas y controles, así como los atributos de una arquitectura de seguridad.
1.15.14 ANÁLISIS DE VULNERABILIDAD En la mayoría de las organizaciones es común la utilización de evaluaciones técnicas de la vulnerabilidad. Éstas pueden tener un valor limitado para el desarrollo de la estrategia de seguridad. No obstante, será importante llevar a cabo una evaluación exhaustiva de la vulnerabilidad que deberá incluir las vulnerabilidades en los procesos, tecnologías y equipos. Por lo general, los procesos y los equipos son los componentes más vulnerables; sin embargo, con frecuencia son los menos evaluados, dada la gran dificultad que implica aplicarles evaluaciones. Para efectos de desarrollar una estrategia basada en información precisa, es crucial que estas evaluaciones se lleven a cabo. La organización obtendrá un beneficio mínimo en términos de seguridad al tener una infraestructura técnica bien protegida, si ésta se utiliza para procesar órdenes fraudulentas. De igual forma, tiene poco valor para la organización si los servidores están seguros en términos técnicos, pero son robados físicamente como resultado de una seguridad ambiental inadecuada.
1.15.15 EVALUACIÓN DE RIESGOS Mientras las evaluaciones tanto de amenazas como de vulnerabilidad son útiles, por sí mismas, considerando los elementos de estrategia de seguridad, también se requiere evaluar los riesgos para la organización. Si bien las amenazas y vulnerabilidades que no plantean ningún riesgo para la organización no son inmediatamente significativas, el siempre cambiante panorama de riesgos hace posible que éste no siga siendo el caso. De cualquier manera, hasta el grado en que el desarrollo de la estrategia pueda tratar las amenazas y vulnerabilidades, esto deberá aplicarse como una buena práctica. Por ejemplo, aun cuando se reconocía que el World Trade Center (Nueva York, EUA) era vulnerable a que un avión se estrellara contra él y que existía una amenaza, el riesgo se consideraba bajo. Si, como práctica, ya fuera que la amenaza o la vulnerabilidad se hubieran tratado como algo normal, el resultado probablemente habría sido menos catastrófico. La lección aprendida es que, como práctica, se debe aprovechar cada oportunidad para reducir ya sea la amenaza o la vulnerabilidad. Aun cuando las vulnerabilidades para las cuales no exista una amenaza no representen riesgo alguno, persiste la probabilidad de que, en algú n momento, emerja una amenaza factible. Desde una perspectiva estratégica, se deben considerar las diferentes formas que existen para tratar el riesgo. Para cualquier riesgo dado, estas formas incluyen las sig uientes:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • • •
Aceptar el riesgo Mitigar el riesgo Transferir el riesgo Cesar la actividad que da origen al riesgo
Algunos ejemplos de transferencia de riesgo incluyen los contratos de seguros y los acuerdos de indemnización. Cabe hacer notar que aun cuando es posible transferir el riesgo, en general no se puede transferir la responsabilidad legal. También debe entenderse que la transferencia de riesgos es un control compensatorio que sirve para reducir el impacto.
1.15.16 CONTRATACIÓN DE SEGUROS Los recursos de la estrategia incluyen la opción de resolver algunos riesgos con coberturas de seguro. Generalmente, los tipos de riesgos apropiados para ser asegurados son eventos poco comunes de alto impacto como inundaciones, huracanes o incendios, malversación o demandas de responsabilidad. Los tipos de seguro más comunes que se pueden considerar incluyen los seguros de primera persona, tercera persona y de fidelidad. Los seguros de primera persona protegen a la organización en caso de daños producidos por la mayoría de las causas y pueden incluir interrupción del negocio, pérdida directa y costos de recuperación. El seguro de tercera persona maneja posibles responsabilidades ante terceros y generalmente incluye defensa contra demandas legales y cubre daños hasta por los límites predeterminados. El seguro o garantía de fidelidad ofrece protección contra robos o apropiaciones indebidas de parte de empleados o agentes.
1.15.17 EVALUACIÓN DE IMPACTO AL NEGOCIO El impacto al negocio es lo "esencial" del riesgo. Los riesgos que no pueden resultar en un impacto que no se pueda apreciar no son importantes. Las evaluaciones de impacto son un componente primario para desarrollar una estrategia que resuelva posibles impactos adversos para la organización. La importancia de dichas evaluaciones radica en que podrían indicar que es más fácil reducir un posible impacto que mitigar el r iesgo o reducir una vulnerabilidad. El BIA también tiene que considerarse como un requerimiento para determinar la criticidad y sensibilidad de los sistemas y de la información. Como tal, establece la base para desarrollar un enfoque para los requerimientos de clasificación de la información y de continuidad del negocio.
1.15.18 ANÁLISIS DE LA DEPENDENCIA DE RECURSOS El análisis de dependencia del negocio se explicó anteriormente y es similar al análisis de dependencia de los recursos, pero es menos granular e incluye los elementos que se considerarían en un plan de continuidad del negocio (BCP), incluyendo artículos como grapas, sujetapapeles, etc. La dependencia de los recursos es similar a la planificación de recuperación en caso de desastre (DRP) y considera los sistemas, el hardware y el software necesarios para realizar funciones organizacionales específicas. La dependencia de los recursos puede ofrecer otra perspectiva sobre la criticidad de los recursos de información. Hasta cierto grado, puede utilizarse en lugar de un análisis de impacto para garantizar que la estrategia incluye los recursos que son críticos para las operaciones de negocio. El análisis se basa en la determinación de los recursos (como los sistemas, el software, la conectividad, etc.) y las dependencias (como los procesos de entrada y los repositorios de datos) requeridos por las operaciones críticas para la organización.
1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD La externalización (outsourcing) es cada vez más común tanto a nivel nacional como internacional, a medida que las compañías se concentran en competencias fundamentales y formas de recortar gastos. Desde una perspectiva de seguridad de la información, estos ajustes pueden representar un conjunto de riesgos que pueden ser difíciles de mitigar. Casi siempre, tanto los recursos como las habilidades de las funciones que se contratan a proveedores externos no se encuentran dentro del control de la organización, lo cual puede representar un conjunto de riesgos. Los proveedores pueden operar con base en diferentes criterios y puede ser difícil controlarlos. La estrategia de seguridad debe ejercer el debido cuidado cuando se trate de servicios contratados a proveedores externos a fin de garantizar que no constituyen un punto crítico de fallo o que se cuenta con un plan viable de respaldo en caso de problemas con el proveedor del servicio.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
1.15.20 OTROS PROVEEDORES DE SOPORTE Y ASEGURAMIENTO ORGANIZACIONAL Cuando se desarrolla una estrategia de seguridad, por lo regular se cuenta con varios proveedores de servicios de aseguramiento y soporte dentro de la organización que deben considerarse como parte de los recursos de seguridad de la información. Estos pueden incluir una variedad de departamentos como legal, cumplimiento, auditoría, adquisiciones, seguros, recuperación en caso de desastre, seguridad física, capacitación, oficina de proyectos y recursos humanos. Otros departamentos o grupos, como gestión de cambios o aseguramiento de la calidad, también incluyen elementos de aseguramiento en su operación. Estas funciones de aseguramiento casi nunca están bien integradas, si es que lo están. Las consideraciones estratégicas deben incluir enfoques para garantizar que estas funciones operan perfectamente a fin de evitar brechas que puedan ocasionar que la seguridad se vea comprometida.
1.16 RESTRICCIONES DE LA ESTRATEGIA Se deben considerar varias limitaciones cuando se desarrolla una estrategia de seguridad. Éstas establecen los límites para las opciones con las que cuenta el gerente de seguridad de la información y deben definirse y comprenderse claramente antes de comenzar a desarrollar una estrategia.
1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S Existen varios temas legales y regulatorios que afectan la seguridad de la información y que deben considerarse cuando se desarrolle una estrategia. Resulta inevitable que la seguridad de la información esté vinculada a las cuestiones de privacidad, propiedad intelectual y legislación contractual. Cualquier esfuerzo por diseñar e implementar una estrategia efectiva de seguridad de la información tiene que basarse en un entendimiento sólido de los requerimientos y restricciones legales aplicables. Diferentes regiones en una organización global pueden regirse por legislaciones en conflicto. Un ejemplo de ello es en el ámbito de la legislación sobre privacidad, otro ejemplo puede ser las diferencias culturales respecto a la fijación de precios. En algunos países, se realizan investigaciones profundas de antecedentes de empleados de nuevo ingreso; sin embargo, dichas investigaciones pueden ser ilegales conforme a la legislación de otros países. Para tratar estas situaciones, la organización global pudiera tener que establecer diferentes estrategias de seguridad para cada división regional, o puede basar su política en los requerimientos más r estrictivos a fin de alcanzar consistencia en toda la empresa. De igual modo, existen temas legales y regulatorios relacionados con negocios por Internet, transmisiones globales y flujos de datos transfronterizos (p.ej. privacidad, leyes fiscales y aranceles, restricciones de importación/exportación de datos, restricciones sobre criptografía, garantías, patentes, derechos de autor, secretos comerciales, seguridad nacional). Éstos varían dependiendo de dónde se encuentre ubicada la organización y resultan en restricciones y limitaciones a las estrategias de seguridad. La investigación de tales temas debe llevarse a cabo de manera conjunta con las áreas de jurídico y de cumplimiento regulatorio, así como cualquier otra área de negocio que pudiera verse afectada. La estrategia de seguridad también debe tener en cuenta que la integridad del personal está sujeta a regulaciones en muchas jurisdicciones
Requerimientos Sobre el Contenido y la Retención de Registros de Negocio Existen dos aspectos principales que debe tener en cuenta una estrategia de seguridad de la información sobre el contenido y la retención de registros de negocio y cumplimiento: • •
Los requerimientos comerciales para registros de negocio; Los requerimientos legales y regulatorios para registros.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Los requerimientos de negocio pueden exceder a aquellos legales y regulatorios impuestos por los organismos legislativos correspondientes debido a la naturaleza del negocio de la organización. Algunas organizaciones tienen necesidades de negocio que requieren de acceso a datos que tienen una antigüedad de 10 a 20 años o más. Éstos pueden incluir registros de clientes, registros de pacientes, información de ingeniería, entre muchos otros. Como regla, la estrategia de retención y la política posterior deben cumplir, como mínimo, con los requerimientos legales en la jurisdicción y la industria de las que se trate. Dependiendo de la ubicación y el sector industrial en los que se encuentre una organización, los organismos reguladores imponen requerimientos con los que debe cumplir una organización, entre otros: Algunas regulaciones, como Sarbanes-Oxley, han impuesto requerimientos obligatorios de retención para varios tipos y categorías de información, independientemente del medio en el que esté almacenada. La estrategia requerirá que el gerente de seguridad de la información se mantenga actualizado en lo referente a estos requerimientos y garantice su cumplimiento. Otro requerimiento legal que debe considerarse es el orden legal de conservación de acuerdo con el cual una organización o persona debería retener datos específicos a solicitud de la ley u otras autoridades. Generalmente también sucede que la información archivada se debe indexar adec uadamente para su localización y recuperación.
1.16.2 FACTORES FÍSICOS Será inevitable que exista una variedad de factores físicos y ambientales que influirán o impondrán limitaciones en la estrategia de seguridad de la información. Entre los factores obvios se encuentran la capacidad, el espacio, los peligros ambientales y la disponibilidad de la infraestructura. Otras limitaciones que en ocasiones se han ignorado son, entre otras, un centro de datos que ha instalado una importante compañía petrolera en un sótano que se sabe que se inunda con regularidad. La estrategia de seguridad debe asegurarse de que se prevean tanto la atención a los peligros ambientales como una capacidad de infraestructura adecuada. La estrategia también debe incluir un requerimiento para considerar la integridad del personal y de los recursos.
1.16.3 ÉTICA La percepción que tienen los clientes de una organización y el público en general de su comportamiento ético puede tener un impacto significativo en dicha organización y afectar su valor. Estas percepciones a menudo se ven influidas por la ubicación y la cultura, por lo que una estrategia efectiva debe considerar los aspectos éticos en las áreas en las que opera.
1.16.4 CULTURA La cultura interna de la organización se debe tomar en cuenta a la hora de desarrollar una estrategia de seguridad. También se debe considerar la cultura en la cual funciona la organización. Una estrategia que esté en desacuerdo con las convenciones culturales podría encontrar resistencia y ello dificultaría una implementación exitosa.
1.16.5 ESTRUCTURA ORGANIZACIONAL La estructura organizativa tendrá un impacto significativo en cómo una estrategia de gobierno puede concebirse y aplicarse. A menudo, existen diversas funciones de aseguramiento en "silos" que tienen diferentes estructuras jerárquicas y facultades. La cooperación entre dichas funciones es importante y suele requerir de la participación e interacción de la alta dirección.
1.16.6 COSTOS El desarrollo y la implementación de una estrategia consumirán recursos, incluso tiempo y dinero. Por supuesto que será necesario que la estrategia considere la forma más rentable de implementarla.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Las organizaciones a menudo justifican el gasto con base en el valor del proyecto. No obstante, cuando se trata de proyectos de seguridad, la evasión de un riesgo en específico o el cumplimiento con las regulaciones son por lo general los principales impulsores. En términos generales, desde una perspectiva de negocios, un análisis de costo-beneficio u otro análisis financiero es el enfoque de mayor aceptación para justificar gastos y debe tenerse en cuenta cuando se desarrolle una estrategia. Un enfoque tradicional, pero especulativo es considerar el valor de evitar riesgos específicos calculando las pérdidas potenciales en las que se puede incurrir mediante un incidente específico, y multiplicándolas por la probabilidad de que ocurra en un año determinado. Ello resulta en una expectativa de pérdida anual (ALE). Así, el costo de los controles requeridos para excluir tal evento puede compararse con ALE para determinar el ROL Cabe notar que muchos profesionales creen que el ROI no es un buen enfoque para justificar los programas de seguridad. Esto es en particular cierto para los programas implementados para efectos de cumplimiento regulatorio. Por ejemplo, de acuerdo con la Ley Sarbanes-Oxley (SOX), se imponen sanciones ampliadas para algunas contravenciones y constan de largos periodos en prisión para los directores ejecutivos. El ROI en los programas para evitar dichas sanciones puede ser difícil de cuantificar. Recientemente, los avances en las tecnologías y los procedimientos de conexión única y otorgamiento de acceso a usuarios han resultado en ahorros de tiempo y costos sobre las técnicas tradicionales de administración manual, lo cual puede proporcionar una base razonable para los cálculos del ROI. Existen varios ejemplos que comparan los costos de los procesos tradicionales con los procedimientos más recientes, y éstos se pueden utilizar para desarrollar un business case (caso de negocios).
1.16.7 PERSONAL Una estrategia de seguridad tiene que considerar la resistencia que podría encontrar durante la implementación. Por lo general debe esperarse que haya resistencia a cambios significativos, y posibles resentimientos contra nuevas limitaciones que podrían percibirse que dificultan más las tareas o que son muy tardadas.
1.16.8 RECURSOS Una estrategia efectiva debe considerar los presupuestos disponibles, el costo total de la propiedad (TCO-total cost of ownership) de tecnologías nuevas o adicionales y los requerimientos de personal de diseño, aplicación, operación, mantenimiento y cierre eventual. Típicamente, TCO debe desarrollarse para el ciclo de vida completo de tecnología, procesos y personal.
1.16.9 CAPACIDADES Los recursos con los que se cuenta para implementar una estrategia deben incluir las capacidades conocidas de la organización, entre otras, conocimientos especializados y habilidades. Por supuesto que una estrategia que se basa en capacidades demostradas tiene más probabilidades de tener éxito que una que no tiene esa base.
1.16.10 TIEMPO El tiempo es una limitación significativa en el desarrollo de una estrategia. Podría haber fechas límite de cumplimiento que deben acatarse o soporte que deba asignarse a ciertas operaciones estratégicas, tales como una fusión. Podría haber periodos de oportunidad para actividades de negocio específicas que exigen ciertos plazos para la implementación de determinadas estrategias.
1.16.11 TOLERANCIA AL RIESGO La tolerancia que tenga una organización al riesgo desempeñará una función importante en el desarrollo de una estrategia de seguridad de la información. Aun cuando es difícil de medir, existen varios métodos para llegar a aproximaciones útiles. Un método consiste en desarrollar tiempo objetivo de recuperación (RTOs) para sistemas críticos. Entre más breves sean los tiempos que determinen los gerentes correspondientes, mayor será el costo y menor será la
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información tolerancia al riesgo. Los RTOs se basan en un análisis de impacto al negocio o de dependencia para determinar los tiempos de inactividad permisibles para varios recursos. En términos generales, el punto óptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar l os recursos.
1.17 PLAN DE ACCIÓN PARA LA ESTRATEGIA Implementar una estrategia requiere uno o más planes de acción. Un análisis de la brecha entre el estado actual y el estado deseado para cada métrica definida identifica los requerimientos y las prioridades de un plan de acción.
1.17.1 ANÁLISIS DE BRECHAS-BASE PARA UN PLAN DE ACCIÓN Será necesario realizar un análisis de brechas para diversos componentes de la estrategia que ya se discutieron con anterioridad, tales como niveles de madurez, cada objetivo de control y cada objetivo de riesgo e impacto. Podría ser necesario repetir este ejercicio cada año o con mayor frecuencia a fin de proporcionar métricas de desempeño y de metas, así como información sobre posibles correcciones a medio camino que sean necesarias para responder a los ambientes cambiantes u otros factores. Un enfoque típico del análisis de brechas es trabajar en sentido inverso desde el punto final hasta el estado actual y determinar los pasos intermedios que se requieren para alcanzar los objetivos. Se puede utilizar el CMM u otros métodos para determinar la brecha o diferencia entre el estado actual y el estado deseado. Algunas áreas típicas que se deben valorar y/o garantizar incluyen, entre otras, que: • • • • • • • • • • • • • • • • • • • •
Una estrategia de seguridad que cuente con la aceptación y el apoyo de la alta dirección. Una estrategia de seguridad que tenga un vínculo intrínseco con los objetivos de n egocio. Políticas de seguridad que estén completas y que sean congruentes con la estrategia. Se mantengan de manera consistente estándares completos para t odas las políticas aplicables; Procedimientos completos y precisos para todas las operaciones importantes. Asignación clara de roles y responsabilidades. Se cuente con una estructura organizacional que otorgue una autoridad apropiada a la gestión de seguridad de la información sin que existan conflictos de interés inherentes; Los activos de información se hayan identificado y clasificado para determinar su eriticidad y sensibilidad; Controles efectivos que se hayan diseñado, implementado y mantenido. Se cuente con métricas de seguridad y procesos de monitoreo eficaces; Procesos eficaces de cumplimiento y exigencia de cumplimiento. Se tengan capacidades de respuesta funcionales y probadas ante e mergencias e incidentes; Se cuente con planes probados de continuidad de negocio/ recuperación de desastre; Los procesos de gestión de cambios cuenten con la debida aprobación de seguridad; Riesgos que estén debidamente identificados, evaluados, comunicados y gestionados. Exista una concienciación adecuada sobre seguridad por parte de todos los usuarios y la debida capacitación; Exista un desarrollo y entrega de actividades que puedan promover la seguridad de manera positiva en la cultura y comportamiento del personal; Se entiendan y traten los temas regulatorios y legales; Tratamiento de temas relacionados con la seguridad de l os proveedores de servicio externos. Se resuelvan de manera oportuna los temas relacionados con incumplimientos y otras desviaciones.
1.17.2 ELABORACIÓN DE POLÍTICAS Uno de los aspectos más importantes del plan de acción para ejecutar una estrategia será crear o modificar políticas y estándares, según sea necesario. Las políticas son la constitución del gobierno; los estándares son la ley. Las políticas deben capturar la intención, expectativas y dirección de la gerencia. A medida que evoluciona una estrategia, es
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información fundamental que se desarrollen políticas de apoyo a fin de estructurar la estrategia. Por ejemplo, si el objetivo es cumplir con ISO/IEC 27001 en un periodo de tres años, entonces la estrategia tiene que considerar, entre otras cosas, los elementos que se van a tratar primero, los recursos que se van a asignar, cómo se van a conseguir los elementos de la norma. La directriz mostrará los pasos y la secuencia, las dependencias y las etapas importantes. El plan de acción es, en esencia, un plan de proyecto para implementar la e strategia después de establecer la directriz. Si el objetivo es dar cumplimiento a ISO/IEC 27001, cada uno de los 11 dominios respectivos y principales subdivisiones tienen que ser el tema de una política. En la práctica, esto se puede lograr de manera efectiva con un promedio de poco más de una veintena de políticas específicas para instituciones incluso de gran tamaño. Es probable que cada política tenga varios estándares de apoyo que por lo regular se dividirán en dominios de seguridad. En otras palabras, un conjunto de estándares para un dominio de alta seguridad podría ser más riguroso que los estándares para un dominio de baja seguridad. También podría ser necesario desarrollar otros estándares para diferentes unidades de negocio dependiendo de sus actividades y requerimientos regulatorios. La estrategia completa establece la base para crear o modificar políticas existentes. Debe ser posible dar seguimiento a las políticas hasta llegar directamente a los elementos de la estrategia. De lo contrario, o bien la estrategia estará incompleta, o bien, la política será incorrecta. Debe ser evidente que una política que contradice a la estrategia será contraproducente. La estrategia es la declaración de la intención, las expectativas y la dirección de la gerencia. A su vez, las políticas deben ser congruentes con la intención y la dirección de la estrateg ia y respaldarlas. La mayoría de las organizaciones en la actualidad cuentan con algunas políticas de seguridad de la información. Tradicionalmente han evolucionado al paso del tiempo y se han creado en respuesta a algún problema de seguridad o regulación, y a menudo son incongruentes e incluso contradictorias. Estas políticas casi nunca están relacionadas con una estrategia de seguridad (si existen) y sólo guardan una relación casual con las actividades de negocio. Las políticas son uno de los elementos primarios del gobierno. Por ello, deben estar debidamente elaboradas, y contar con la aceptación y validación del consejo de dirección y la dirección ejecutiva; asimismo, deben difundirse ampliamente en toda la organización. Podría haber ocasiones en las que sea necesario elaborar subpolíticas para tratar situaciones excepcionales separadas del grueso de la organización. Un ejemplo de ello sería cuando una parte independiente de la organización lleva a cabo un trabajo militar altamente confidencial. Las políticas que reflejan los requerimientos de seguridad específicos para trabajo militar confidencial podrían existir como un conjunto por separado. Existe un gran número de atributos de políticas r ecomendables que deben de tenerse en consideración: • • • • •
Las políticas de seguridad deben ser una articulación de una estrategia de seguridad de la información bien definida y captar la intención, las expectativas y la dirección de la gerencia. Cada política debe establecer solo un mandato general de seguridad. Las políticas deben ser claras y de fácil comprensión para todas las partes i nteresadas. Las políticas rara vez deben tener una extensión que exceda unas cuantas oraciones. Rara vez habrá una razón para tener más de una veintena de políticas.
La mayoría de las organizaciones han elaborado políticas de seguridad antes de desarrollar una estrategia de seguridad. En efecto, la mayoría de las organizaciones aún no han desarrollado una estrategia de seguridad. En muchos casos, el desarrollo de políticas no ha seguido al enfoque definido anteriormente y se ha adaptado provisionalmente a varios formatos. A menudo, estas políticas se han redactado para incluir estándares y procedimientos en documentos extensos y detallados recopilados en grandes y empolvados volúmenes relegados al archivo definitivo/muerto. Sin embargo, en muchos casos, en particular en organizaciones pequeñas, se han desarrollado prácticas efectivas que no necesariamente están reflejadas en políticas escritas. Las prácticas vigentes que tratan en forma adecuada los requerimientos de la seguridad pueden ser de mucha utilidad para establecer la base para elaborar políticas y estándares. Este enfoque minimiza las interrupciones en la organización, la divulgación de nuevas políticas y la resistencia a limitaciones nuevas o desconocidas.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
1.17.3 ELABORACIÓN DE ESTÁNDARES Los estándares son poderosas herramientas de la gestión de seguridad. Establecen los límites permisibles para procedimientos y prácticas de tecnología y sistemas, y también para personas y eventos. Si se implementan adecuadamente, son la ley para la constitución de la política. Proporcionan la vara que mide el cumplimiento de la política y una base sólida para realizar auditorías. Asimismo, regulan la elaboración de procedimientos y directrice s. Los estándares son la herramienta predominante para la implementación de un gobierno efectivo de seguridad y deben ser propiedad del gerente de seguridad de la información. Deben elaborarse cuidadosamente para establecer sólo los límites necesarios y significativos sin restringir de manera innecesaria las opciones de procedimientos. Los estándares sirven para interpretar políticas y es importante que reflejen la intención de la política. Los estándares no deben ser ambiguas; deben ser consistentes y precisas con respecto al alcance y el público al que están dirigidas. Los estándares deben existir para elaborar estándares y políticas en lo relativo a su formato, contenido y aprobaciones requeridas. Los estándares deben darse a conocer a aquellos que se regirán o se verán afectados por ellas. De igual forma, deben desarrollarse procesos de revisión y modificación. Los procesos de excepción deberán desarrollarse para los estándares que no se puedan alcanzar de inmediato por razones tecnológicas o de otro tipo. Asimismo, debe desarrollarse un proceso para implementar controles compensatorios para situaciones de incumplimiento.
1.17.4 CAPACITACIÓN Y CONCIENCIACIÓN Un plan de acción efectivo para implementar una estrategia debe considerar un programa continuo de concienciación y capacitación sobre seguridad. En la mayoría de las organizaciones, la evidencia indica que la mayor parte del personal no conoce las políticas ni los estándares de seguridad ni siquiera cuando éstas existen. Incluso hoy en día, muchas organizaciones no tienen políticas formales de seguridad, mucho menos una estrategia de seguridad. Sin embargo, los requerimientos regulatorios cada vez más restr ictivos para la mayoría de las organizaciones probablemente mejorarán la situación en los siguientes años. Entre las regulaciones más significativas se encuentran la Ley Sarbanes-Oxley (SOX) en los EUA para empresas que se cotizan en bolsa, la Autoridad de Servicios Financieros (FSA) en el REINO UNIDO (RU) para instituciones financieras, BASILEA II en el RU para organizaciones financieras globales y la articulación local de las Directivas de Privacidad de la UE para la mayoría de los países europeos. Existen varias disposiciones que dependen del sector y la ubicación geográfica en la que se encuentran que tienen que considerarse cuando sea pertinente.
1.17.5 MÉTRICAS DEL PLAN DE ACCIÓN El plan de acción para implementar la estrategia requerirá de métodos para monitorear y medir el progreso y el logro de las etapas importantes. Tal como sucede con cualquier plan de proyecto, se deben monitorear el progreso realizado y los costos incurridos de manera continua a fin de determinar su aproximación al plan y permitir que se hagan correcciones durante su ejecución de manera oportuna. Es probable que exista una variedad de metas que se puedan alcanzar a corto plazo y que requieran de recursos y un plan de acción para alcanzarlas. Existen varios enfoques que pueden aplicarse para monitorear y medir el progreso de manera continua. Uno o más métodos pueden ser utilizados para determinar el estado actual, se pueden aplicar de manera regular para determinar y dar seguimiento a los cambios de dicho estado. Por ejemplo, se podría utilizar un Cuadro de mando de manera efectiva, dado que en sí mismo sería un medio de dar seguimiento continuo al progreso. Otro enfoque se usa comúnmente es el CMM para definir tanto el estado actual como los objetivos. El CMM, un enfoque sencillo que es fácil de implementar y es utilizado ampliamente por COBIT, ofrece una base para llevar a cabo un análisis de brechas continuo para determinar los avances realizados para alcanzar las metas. Sin embargo, cada plan de acción se beneficiará de desarrollar un conjunto apropiado de Indicadores Clave de Desempeño (KPIs), definiendo Factores Críticos de Éxito (CSFs) y estableciendo Indicadores Clave de Metas (KGIs) acordados. Por ejemplo, el plan de acción para alcanzar un cumplimiento regulatorio para Sarbanes-Oxley puede requerir, entre otras cosas:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información • • •
Un análisis detallado por parte del personal de jurídico competente para determinar los requerimientos regulatorios aplicables a cada unidad de negocio afectada. Conocimiento del estado actual del cumplimiento. Definición del estado requerido de cumplimiento.
Entre las posibles métricas y actividades de monitoreo pueden estar los siguientes KGIs, CSFs y KPIs:
INDICADORES CLAVE DE METAS Definir objetivos claros y lograr un consenso en las metas es fundamental para desarrollar métricas significativas. Para este plan en particular, las metas clave podrían incluir: • • •
Alcanzar niveles de cumplimiento sobre pruebas de controles de Sarbanes-Oxley. Llevar a cabo una validación y certificación independientes del cumplimiento con las pruebas de controles. Elaborar la declaración requerida sobre la eficacia del control.
Sarbanes-Oxley requiere que para todas las organizaciones que cotizan en bolsa en los Estados Unidos, se deben probar todos los controles financieros dentro de los noventa días posteriores a la presentación de la información, para determinar su eficacia. Los resultados de las pruebas deben contar con la firma tanto del CEO como del CFO, así como con la certificación por parte del departamento de auditoría de la organización. Los resultados deberán entonces incluirse en los archivos públicos de la organización que se envían a la Comisión de la Bolsa de Valores (SEC) de los EUA.
FACTORES CRÍTICOS DE ÉXITO A fin de dar cumplimiento a l a ley Sarbanes-Oxley, se deben llevar a cabo determinados pasos para alcanzar con éxito lo s objetivos requeridos, entre otros: • • •
Identificar, clasificar y definir los controles. Definir pruebas adecuadas para determinar su eficacia. Asignar recursos para llevar a cabo las pruebas requeridas.
Las grandes organizaciones tienen cientos de controles (o más) que, por lo general, han sido desarrollados a lo largo de un periodo. En muchos casos, estos controles son provisionalesy no están sujetos a procesos formales. Será necesario identificar los procesos de control, procedimientos, estructuras y tecnologías, de tal forma que sea posible desarrollar un régimen de pruebas adecuado. Asimismo, será fundamental determinar los recursos y procedimientos de pruebas que se requieran para llevar a cabo las pruebas requeridas.
INDICADORES CLAVE DE DESEMPEÑO Entre los indicadores que muestran los factores de desempeño clave o críticos que se requieren para alcanzar los objetivos se encuentran los siguientes: • • •
Planes de pruebas a la eficacia del control. Progreso realizado en las pruebas a la eficacia del control. Resultados de las pruebas aplicadas a la eficacia del control.
Para que la gerencia dé seguimiento al progreso en las pruebas realizadas, es preciso desarrollar planes de pruebas adecuados que sean congruentes con las metas que se hayan definido y que incluyan los Factores Críticos de Éxito. Dado el tiempo limitado (90 días) con el que se cuenta para llevar a cabo las pruebas requeridas, la gerencia necesitará contar con informes sobre los avances y los resultados de las pruebas.
Consideraciones Generales de Métricas Las consideraciones para las métricas de la seguridad de la información incluyen garantizar que aquello que se esté midiendo, sea, de hecho, relevante. Puesto que la seguridad es dif ícil de medir con objetividad, suelen utilizarse métricas relativamente superfluas tan sólo porque están disponibles fácilmente. Las métricas sirven para un solo propósito:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información proporcionar la información necesaria para tomar decisiones. Por lo tanto, es crítico entender qué decisiones se deben tomar, quién las toma y luego buscar maneras de proporcionar esa información adecuada y oportunamente. Métricas diferentes resultarán más o menos útiles para distintas partes de la organización y deben de determinarse de manera conjunta con los dueños del proceso de negocio y con la gerencia. Las métricas generalmente se ubicarán en una de tres categorías: estratégicas, tácticas y operacionales. Comúnmente, la alta dirección no se interesa en métricas técnicas detalladas como el número de ataques de virus frustrados o de contraseñas restablecidas, sino en información de naturaleza estratégica. Mientras las métricas técnicas pueden ser significativas para el gerente de seguridad de TI, la alta dirección suele desear un resumen de información importante desde una perspectiva de gerencia, información que normalmente excluye datos técnicos detallados. Los cuales pueden incluir: • • • • •
Avances de acuerdo al plan y presupuesto. Cambios significativos en el riesgo y posibles impactos a los objetivos del negocio. Resultados de las pruebas al plan de recuperación ante desastres. Resultados de la auditoría Estado del cumplimiento de las normas reguladoras
Es probable que el gerente de seguridad de la información desee recibir información más detallada que incluya, entre otros: • • • •
Mediciones del cumplimiento de la política Procesos, sistemas u otros cambios significativos que pudieran afectar el perfil de riesgo. Estado de la gestión de parches Excepciones y desviaciones a las políticas o estándares.
En organizaciones que cuenten con un gerente de seguridad de TI, es probable que sean de utilidad todos los datos técnicos de seguridad que se encuentren disponibles. Los cuales pueden incluir: • • • •
Resultados del análisis de vulnerabilidad Cumplimiento de los estándares de configuración de servidores Resultados del monitoreo de IDS. Análisis de registro de cortafuegos
Suele ser difícil diseñar e implementar métricas útiles de seguridad de la información. Puesto que no existe una norma, la mayoría de las medidas serán tan sólo un indicio de los posibles riesgos e impactos. La falta de valor predictivo a menudo resulta en la recopilación de enormes cantidades de datos para intentar garantizar que no se ha pasado por alto nada significativo. El resultado puede ser que el mero volumen de datos dificulte ver el "cuadro completo", y será necesario desarrollar procesos para filtrar datos hasta obtener información útil. Un esfuerzo de colaboración con varios componentes podría ayudar a determinar cuál información de seguridad es de utilidad y qué significa. A menudo, el enfoque se encuentra en las vulnerabilidades de TI, sin considerar si existe alguna amenaza o si el impacto potencial es significativo. El simple hecho de conocer el número de vulnerabilidades abiertas no proporciona información sobre el riesgo, las amenazas o los impactos, y en sí mismo resulta de poca utilidad. Es posible lograr mejoras en el monitoreo integral mediante un análisis detallado de las métricas que están disponibles a fin de determinar su relevancia. Por ejemplo, resultaría interesante saber cuántos paquetes fueron rechazados por los cortafuegos (firewalls); sin embargo, aclara en poco los riesgos a los que se enfrenta la organización o los impactos potenciales. Podría tratarse de información que es de utilidad para el departamento de TI pero que no tiene valor alguno para la gestión de seguridad de la información. Por otra parte, conocer el tiempo que toma recuperar los servicios críticos después de que ha ocurrido un incidente grave podría ser de suma utilidad para todas las partes involucradas.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Las actividades de diseño y monitoreo de métricas deben tener en consideración lo siguiente: • • • •
Lo que es importante para las operaciones de seguridad de la información. Los requerimientos de la gestión de seguridad de la información. Las necesidades de los dueños del proceso de negoc io. Lo que desea saber la alta dirección.
La comunicación con cada uno de los componentes podría servir para determinar los tipos de informes de seguridad que les resultarían útiles. Entonces es posible desarrollar los procesos de presentación de información que le proporcionen a cada grupo la información de seguridad que requiera.
1.18 IMPLEMENTACIÓN DEL GOBIERNO DE LA SEGURIDAD-EJEMPLO La siguiente sección demuestra un enfoque para implementar el gobierno de la seguridad utilizando el CMM para definir objetivos (KGIs), determinar una estrategia y como una métrica del progreso. Alcanzar un CMM de nivel 4 es una meta organizacional típica y podría expresarse como un estado deseado. La siguiente lista, basada en COBIT, podría no servir para delinear todos los atributos y las características del estado deseado de la seguridad de la información y podría ser necesario añadir otros elementos. No obstante, proporciona lo básico que se requiere y una descripción adecuada del estado deseado de seguridad para la mayoría de las organizaciones, como se establece a continuación: •
•
•
La evaluación del riesgo es un procedimiento estándar y la gerencia de TI debería estar en capacidad de detectar cualquier desviación en la ejecución de este procedimiento. Es probable que la gestión de riesgos de TI sea un departamento gerencial definido con la responsabilidad de un nivel superior. La alta dirección y la gerencia de TI han determinado los niveles de riesgo que tolerará la organización y tendrá medidas establecidas para las proporciones de riesgo/beneficio. Las responsabilidades en lo que respecta a la seguridad de la información se asignan, se gestionan y se exige su cumplimiento de forma clara. Se lleva a cabo de manera consistente el análisis de impacto y riesgo de la seguridad de la información. Las políticas y las prácticas de seguridad se completan con niveles mínimos específicos de seguridad. Las sesiones de concienciación sobre la seguridad se han vuelto obligatorias. La identificación, autenticación y autorización de usuarios se han homologado. Se ha establecido la certificación de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. El análisis de costo-beneficio, como apoyo a la implementación de las medidas de seguridad, se está utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la información se coordinan con el área de seguridad de toda la organización. La presentación de información relativa a la seguridad de l a información está vinculada a los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estándares para un servicio continuo. Las prácticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.
Después de desglosar los elementos individuales del CMM 4 s e obtiene la siguiente lista: 1. 2. 3.
La evaluación del riesgo es un procedimiento estándar y la gestión de seguridad debería estar en capacidad de detectar cualquier desviación en la ejecución de este procedimiento. La gestión de riesgos en la seguridad de la información es una función gerencial definida bajo la responsabilidad del nivel superior. La alta dirección y la gerencia de seguridad de la información han determinado los niveles de riesgo que tolerará la organización y tendrá medidas establecidas para las relaciones de riesgo/beneficio.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Las responsabilidades en lo que respecta a la seguridad de la información se asignan, se gestionan y se exige su cumplimiento de forma clara. Se lleva a cabo de manera consistente el análisis de impacto y riesgo de seguridad de la información. Las políticas y las prácticas de seguridad se completan con niveles mínimos específicos de seguridad. Las sesiones de concienciación sobre la seguridad se han vuelto obligatorias. La identificación, autenticación y autorización de usuarios se han homologado. Se ha establecido la certificación de se guridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. El análisis de costo-beneficio, como apoyo a la implementación de las medidas de seguridad, se está utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la información se coordinan con el área de seguridad de toda la organización. La presentación de información relativa a la seguridad de la información está vinculada con los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estándares para un servicio continu o. Las prácticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.
Dependiendo de la estructura organizacional, será necesario evaluar cada área o proceso significativo de la organización por separado. Por ejemplo, será preciso evaluar las áreas de contabilidad, recursos humanos, operaciones, TI, unidades de negocio o subsidiarias para determinar si el estado actual cumple con los requerimientos de los 15 elementos (o más) enlistados con anterioridad. En la mayoría de las organizaciones, los típicos resultados para cada una de las 15 características definidas anteriormente oscilarán entre los niveles de ma durez en una escala de 1 a 4. Será necesario revisar las políticas para determinar si cubren también cada uno de los elementos. Hasta el grado en que no los incluyan, la siguiente sección ofrece sugerencias de políticas que abarcan cada uno de los requerimientos del CMM 4. Un objetivo que debería establecerse es: "alcanzar niveles de madurez consistentes entre dominios de seguridad específicos", teniendo conciencia de la noción de que "la seguridad es sólo tan buena como el eslabón más débil". Por ejemplo, el nivel de madurez de todos los procesos críticos debe ser igual. Al seleccionar un departamento, unidad de negocio o área en particular dentro de la organizació n, puede considerarse el nivel de madurez de la primera declaración del CMM 4. La primera declaración es La evaluación del riesgo es un procedimiento estándar y la gestión de seguridad debería estar en capacidad de detectar cualquier desviación en la ejecución de este procedimiento. Si la organización no se encuentra en este nivel de madurez, entonces tiene que considerarse el enfoque para alcanzar este elemento. Un gran número de requerimientos se encuentran implícitos en esta declaración. Uno de ellos es que las evaluaciones de riesgo son procedimientos estándar y formales que se llevan a cabo como resultado de cambios en sistemas, procesos, amenazas o vulnerabilidades, y de manera regular. Asimismo, está implícito que estas evaluaciones se basan en buenas prácticas y se aplican a proc esos completos, ya sean físicos o electrónico s. Además, la declaración implica que se tiene implementado un monitoreo efectivo que garantiza que las evaluaciones se llevan a cabo según lo requiere la política. En primer lugar, se debe contar con una política que establezca el requerimiento. En caso de que exista tal política, entonces se trata el requerimiento. De lo contrario, sería necesario crearla, o bien, modificar alguna política existente. Una política apropiada para tratar este requerimiento podría establecer lo siguiente:
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información Los riesgos de seguridad de la información deben valorarse con regularidad o a medida que los cambios en las condiciones justifiquen la utilización de procedimientos estandarizados y tienen que incluir todas las tecnologías y procesos relevantes. Se deberá notificar al área de seguridad corporativa antes de comenzar dichas evaluaciones, y de igual forma dicha área deberá recibir los resultados de las evaluaciones hasta su conclusión.
Esta política debe tratar el requerimiento del CMM 4 para un procedimiento estándar y un proceso para mantener informada a la gestión de seguridad. Podría ser necesario crear un conjunto posterior de estándares para definir los límites permisibles y los requerimientos para la valoración de riesgos de diversos dominios operativos. A continuación se presenta el ejemplo de una norma: Los dominios de alta seguridad que abarcan sistemas de negocio críticos y/o información confidencial o protegida deberán valorarse cada año para efectos de riesgos, o con mayor frecuencia si existen: -
Cambios importantes en las amenazas Cambios en el hardware o software Cambios en el negocio o los objetivos
Dichas evaluaciones deberán ser responsabilidad del dueño del sistema o de los datos, y deberán enviarse al área de seguridad corporativa para su revisión oportuna. Cuando sea posible, las evaluaciones deberán realizarse antes de implementar cambios y se deberán someter a la aprobación del área de seguridad corporativa con respecto a su congruencia con la política aplicable. La segunda declaración en el CMM 4 es la siguiente: La gestión de riesgos en la seguridad de la información es una función gerencial definida bajo la responsabilidad del n ivel superior. Para alcanzar este requerimiento, puede ser necesario hacer algún cambio organizacional. A menudo, la seguridad de la información se relega a gerentes de nivel inferior, con lo cual no se alcanza el objetivo. Con base en el modelo CMM de COBIT y el documento relacionado "Governing for Enterprise Security [Gobierno de la Seguridad Empresarial]", es posible elaborar un caso de negocio ( business case) sólido para implementar este cambio estructural. El tercer criterio del CMM establece lo siguiente: "La alta dirección y la gerencia de seguridad de la información han determinado los niveles de riesgo que tolerará la organización y tendrá medidas establecidas para las relaciones de riesgo/beneficio. Una política para tratar este criterio podría declarar que los riesgos deben manejarse a niveles que eviten interrupciones graves a las operaciones críticas del negocio y controlen los impactos a niveles defi nidos como aceptables. Los estándares relacionados definirían límites de interrupciones graves y especificarían cómo determinar los niveles aceptables de impacto. Los estándares también pueden establecer otras definiciones, como los criterios de las declaraciones (quién tiene autoridad para declarar un incidente o desastre que requiere respuestas apropiadas) y los criterios de severidad (un proceso para determinar y definir la severidad del evento y los requerimientos de escalamiento y notificación).
1.18.1 MUESTRAS ADICIONALES DE POLÍTICAS Entre las muestras de políticas que podrían elaborarse para tratar algunas de las demás declaraciones del CMM 4 estarían las siguientes: •
Clara asignación de roles y responsabilidades-Los roles y las responsabilidades de la Compañía XYZ deberán definirse claramente y se deberán asignar formalmente todas las áreas de seguridad que se requieran a fin de garantizar la determinación de responsabilidad. Un desempeño aceptable deberá asegurarse mediante un monitoreo y métricas apropiados. Activos de información que se han identificado y clasificado de acuerdo con su criticidad y sensibilidadTodos los activos de información deben tener a su dueño debidamente identificado y deberán ser
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
•
catalogados. Asimismo, deberá determinarse su valor y deberán clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital. Que se hayan diseñado, implementado y mantenido controles efectivos-Tanto los riesgos como los impactos potenciales deben administrarse utilizando controles y contramedidas apropiados para alcanzar niveles aceptables a costos aceptables. Que se cuente con procesos de monitoreo eficaces-Todas las actividades importantes de gestión de riesgos, aseguramiento y seguridad deben contar con procesos para proporcionar el monitoreo continuo que se requiere para garantizar que se alcanzan l os objetivos de control. Que se cuente con procesos eficaces de cumplimiento y exigencia de cumplimiento-Se deben implementar, administrar y mantener métricas y actividades de monitoreo que proporcionen un aseguramiento constante de que se exige el cumplimiento de todas las políticas de seguridad y que se alcanzan los objetivos de control. Que se tengan capacidades de respuesta ante emergencias e incidentes, funcionales y probadas-Se deben implementar y administrar capacidades de respuesta a incidentes que sean suficientes para garantizar que los impactos no afectan de manera significativa la capacidad de la organización para continuar con sus operaciones. Que se cuente con planes probados de continuidad de negocio/ recuperación de desastre-Se deben de desarrollar, mantener y probar planes de continuidad de negocio y de recuperación de desastre de tal forma que se garantice la capacidad de la organización para continuar operando bajo cualquier condición.
La mayoría de las organizaciones no ha alcanzado un nivel de madurez CMM 4 uniforme en toda la empresa. Este nivel, sin embargo, suele ser suficiente para atender las necesidades de seguridad de la mayoría de las organizaciones. De igual forma es un nivel difícil de alcanzar y puede tomar varios años l ograrlo; sin embargo, puede servir como el objetivo, el estado deseado o modelo de referencia. Cabe hacer notar que las políticas de muestra anteriores pueden ser o no apropiadas para una organización en particular; no obstante se presentan a manera de ejemplo en términos de una elaboración simple y clara, estableciendo a un alto nivel la intención y la dirección de la gerencia. Tal como se indicó anteriormente, es necesario contar con políticas completas para tener un gobierno efectivo de seguridad de la información. La elaboración, tal como establecen las muestras, ha probado ser, en la práctica, un enfoque preferible en la medida en que se obtiene la participación y de la gerencia y el consenso general. Es preciso recordar que la elaboración de la política tiene que ser consistente con la estrategia de seguridad de la información y del estado deseado de seguridad, y ser un reflejo de ellos. Las políticas también deben someterse a la revisión y aprobación por escrito de la alta dirección. Los estándares complementarios son ejemplos clásicos pero deben adaptarse a las necesidades de cada organización y casi nunca están completas. Por lo regular, se requerirá contar con múltiples estándares para cada política en cada dominio de seguridad. La elaboración de estándares tiene que llevarse a cabo con el debido cuidado. Si se elaboran en forma adecuada, proporcionan límites de seguridad consistentes y una herramienta altamente efectiva para implementar el gobierno de la seguridad de la información. Tanto el departamento de auditoría como las unidades organizacionales afectadas deberán revisar los borradores de los estándares. Las auditorías son uno de los principales mecanismos para cumplir y exigir el cumplimiento con las políticas. La contribución de los auditores en los estándares puede ayudar a desarrollar estándares completos y efectivos, y podría ayudarlos también a desempeñar sus funciones. Es probable que la colaboración con los dueños del proceso en cuestión permita una mejor cooperación en la implementación de los cambios propuestos y ayudar a garantizar que los estándares no interfieran de manera innecesaria en el desempeño de sus funciones. Aun cuando esto puede implicar una etapa de negociación considerable para alcanzar un consenso sobre los estándares apropiadas, el resultado final
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información será una mayor consistencia con las actividades de negocio y mejores resultados en términos de garantizar su cumplimiento. Para la mayoría de las organizaciones, implementar un gobierno efectivo de seguridad de la información requerirá de una iniciativa importante dada la naturaleza a menudo fragmentada y táctica de los esfuerzos típicos relacionados con la seguridad. Para ello será necesario contar con el apoyo y compromiso de la alta dirección y con los recursos apropiados. Asimismo, será necesario elevar la gestión de seguridad a puestos de autoridad equiparables a sus responsabilidades. Esta ha sido la tendencia en años recientes a medida que las organizaciones se vuelven completamente dependientes de sus activos de información y recursos, y que las amenazas e interrupciones continúan aumentando y se vuelven cada vez más costosas.
1.19 METAS INMEDIATAS DEL PLAN DE ACCIÓN Para la mayoría de las organizaciones, se puede definir de inmediato una variedad de metas específicas a corto plazo que sean congruentes con la estrategia de seguridad de la información en su conjunto, una vez que se ha concluido la estrategia total. Con base en la determinación del BIA de los recursos de negocio críticos y el estado de seguridad según se haya establecido a partir del análisis de brechas del CMM anterior, la priorización de las actividades correctivas debe ser clara. Si el objetivo de la estrategia de seguridad es alcanzar la certificación CMM 4, entonces un ejemplo de un plan de acción (o táctico) a un plazo cercano podría establecer lo siguiente: Durante los siguientes 12 meses: •
• • • • • • • •
Cada unidad de negocio tiene que identificar las a plicaciones actuales en uso. Tiene que revisarse el 25 por ciento de toda la información almacenada para determinar su propiedad, criticidad y sensibilidad. Cada unidad de negocio llevará a cabo un BIA de los recursos de información a fin de identificar los recursos críticos. Las unidades de negocio tienen que dar cumplimiento a las regulaciones. Deben definirse todos los roles y las responsabilidades de seguridad. Se desarrollará un proceso para verificar los vínculos alos procesos de negocio. Se debe realizar una evaluación de riesgo exhaustiva para cada unidad de negocio. Todos los usuarios deben recibir formación sobre una política de uso aceptable. Todas las políticas deben revisarse y modificarse según sea necesario. Deben existir estándares para todas las políticas.
Las metas y las etapas importantes a corto plazo deberán formar parte de los planes de acción; sin embargo, se deben definir los objetivos del estado deseado en conjunto a largo plazo para maximizar las posibles sinergias y garantizar que todos los planes de acción a corto o mediano plazo estén acordes a las metas finales. Por ejemplo, una solución táctica que deba ser remplazada porque no se integrará en el plan general es probable que resulte más costosa que una que sí se integrará. Es importante que la estrategia y el plan a largo plazo sirvan para integrar actividades tácticas a corto plazo. Ello contrarrestará la tendencia de implementar soluciones puntuales que son típicas del modo en crisis de la operación en el cual se encuentran muchos departamentos de seguridad. Tal como han descubierto muchos gerentes de seguridad, numerosas soluciones no integradas que se han implementado en respuesta a una serie de crisis durante varios años se vuelven cada vez más costosas y difíciles de manejar.
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información
1.20 OBJETIVOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN Implementar la estrategia con un plan de acción tendrá por resultado un programa de seguridad de la información. El programa es, en esencia, el plan de proyecto para implementar y establecer la gestión en curso de alguna parte o partes de la estrategia. El objetivo del programa de seguridad de la información es proteger tanto los intereses de aquellos que dependen de la información como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algún daño que sea consecuencia de fallos en la disponibilidad, confidencialidad e integridad de dicha información. En tanto que las definiciones que van surgiendo añaden conceptos como los de utilidad y posesión de la información (esta última para lidiar con robos, engaños y fraudes), la economía interconectada sin duda ha añadido la necesidad de que exista confianza y determinación de responsabilidad en las transacciones electrónicas. Para la mayoría de las organizaciones, el o bjetivo de la seguridad se cumple cuando: • • • •
La información está disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad). La información se divulga sólo a aquellos que tengan derecho a conocerla y sólo puede ser observada por ellos (confidencialidad). La información está protegida contra modificaciones no autorizadas (integridad). Se puede confiar en las transacciones de negocio y en el intercambio de información entre locaciones de la empresa o con socios (autenticidad y no repudio).
La relativa prioridad e importancia de la disponibilidad, la confidencialidad, la integridad, la autenticidad y el no repudio varían de acuerdo con los datos que se encuentran dentro del sistema de información y del contexto de negocio en el cual se utilicen. Por ejemplo, la integridad puede tener particular importancia con respecto al manejo de información debido al impacto que la información tiene en las decisiones críticas relacionadas con la estrategia. La confidencialidad puede ser lo más importante de acuerdo con los requerimientos legales o regulatorios con respecto a la información personal, financiera o médica, o bien, para proteger los secretos comerciales. Es importante entender que estos conceptos aplican de igual forma a los sistemas electrónicos que a los físicos. Por ejemplo, la confidencialidad está expuesta tanto al riesgo de ingeniería social o "búsqueda en la basura (dumpster diving)" como al de un ataque externo exitoso. Además, la integridad déla información puede estar expuesta, al menos con la misma facilidad, a capturas físicas fraudulentas en el sistema que a la inestabilidad electrónica. Asimismo, debe considerarse que la mayoría de las pérdidas significativas son el resultado de ataques internos y no de ataques externos. El resultado es que los controles que se utilizan para detectar anomalías y garantizar la integridad de los sistemas deben ocuparse también de los ataques internos no técnicos.
1.21 ESTUDIO DE CASOS DE EJEMPLO El siguiente estudio de caso sirve para demostrar gráficamente el requerimiento de gobierno de la seguridad explicado en este capítulo. El caso ilustra cómo los desastres son comúnmente causados por una secuencia de fallas y es un estudio de una estructura y cultura organizacional con problemas de funcionamiento. El no aprender de esta situación (y de otros incidentes significativos) y no tomar las acciones correctivas recomendadas por el equipo externo de expertos en revisión post mórtem indudablemente contribuyó al fracaso definitivo de esta organización financiera de más de 45.000 empleados durante la recesión económica de 2008-2009. En una importante institución financiera de EUA, el personal de bajo nivel que supervisa el centro de operaciones de red (NOC) notó una actividad de red inusual un domingo en la noche cuando el banco estaba cerrado. Confundidos e
GESTION DE SEGURIDAD DE LA INFORMACIÓN Unidad 1: Gobierno de Seguridad de la Información inseguros acerca de lo que veían, y sin instrucciones para actuar de manera contraria, decidieron observar el evento en lugar de arriesgarse a molestar a los gerentes un fin de semana. La organización no había desarrollado criterios de severidad, requerimientos de notificación o procesos de escalación. El lunes temprano, el tráfico siguió aumentando en la instalación principal y de repente comenzó a crecer significativamente en el sitio espejo, a cientos de millas de ahí. A pesar de haber sido asesorado en relación con los riesgos, el gerente de TI (al ser interrogado por el autor de este caso de estudio) afirmó con un grado de orgullo que la red totalmente plana había sido diseñada para un alto rendimiento y que confiaba en que su experimentado equipo podía manejar cualquier eventualidad. A las 7:00 a.m. del lunes, el personal del NOC estaba lo suficientemente preocupado como para notificar a los gerentes de TI que había un problema y que los monitores mostraban que la red se estaba saturando. Una hora más tarde, cuando el equipo externo de respuesta a incidentes de computación (CIRT) llegó, la red no estaba operativa y el equipo determinó que la red había sido afectada por el gusano Slammer. El gerente del equipo CIRT informó al gerente de TI que el Slammer residía en la memoria y que el reinicio de toda la red y el sitio espejo resolvería el problema. El gerente afirmó que no estaba autorizado para apagar el sistema y que era necesario que el CIO emitiera la orden. No se pudo ubicar al CIO, y los números actuales de teléfono de emergencia y localizador estaban guardados en un nuevo sistema de localización de emergencia que requería acceso a la red. Cuando se le preguntó sobr e el plan de recuperación en caso de desastre (DRP) y lo que tenía que decir en relación con los criterios de declaración, surgieron tres planes diferentes que habían sido preparados por equipos de diferentes partes de la organización, sin el conocimiento del trabajo del resto. Ninguno contenía criterios de declaración o roles, responsabilidades o autoridad específicos. La resolución final requirió que el CEO, quien estaba viajando al exterior y no estaba disponible de inmediato, diera instrucciones la mañana siguiente (martes) para apagar la red con falla. Más de treinta mil personas no pudieron realizar su trabajo y la institución no pudo operar durante un día y medio. El equipo post mórtem calculó los costos directos finales en más de cincuenta millones de dólares. El trabajo del equipo post mórtem fue obstaculizado por la indiferencia y falta de cooperación de la mayoría de los empleados, temerosos de ser hallados culpables, en una cultura organizacional orientada a la culpa. El autor de este caso fue el gerente del equipo post mórtem que encontró literalmente cientos de procesos deficientes, una cultura disfuncional y una serie de métricas inútiles, además de una falta absoluta de gobierno adecuado. Para los que supervisan el NOC, las métricas indicaron un problema, pero no fueron lo suficientemente significativas como para que los empleados tomaran decisiones activas, mucho menos correctas. Mejores métricas o una mayor capacidad del personal pudo haber resuelto el problema rápidamente en las etapas iniciales del incidente antes de que éste se convirtiera en un problema. Un mejor gobierno pudo haber conferido una autoridad adecuada al gerente de red para ejecutar la acción apropiada. Un mejor gobierno pudo haber insistido en que se aplicaran los parches para vulnerabilidad emitidos dos meses antes o que se implementaran controles compensatorios apropiados para enfrentar una amenaza conocida. Incluso una gestión de riesgo marginalmente efectiva habría insistido en que una red plana, sin segmentación, no era aceptable y que DRP/BCP era una actividad integrada y probada. Las conclusiones que se pueden sacar y que son pertinentes para las métricas y el gobierno sugieren que los datos no son información y que una información incomprensible es simplemente datos y no es útil. Este caso también ilustra que no importa cuán buenas sean las métricas y la supervisión que respaldan las decisiones, no son útiles para los que no tienen el poder de tomar decisiones. En consecuencia, para desarrollar métricas útiles, debe establecerse claramente quiénes toman cuáles decisiones y qué información es necesaria para tomar tales decisiones. A partir de este análisis, se infiere que las métricas de la gestión requieren una variedad de información de diferentes fuentes que luego debe ser sintetizada con el fin de proveer información significativa, necesaria para tomar decisiones relacionadas con las acciones que se requieren. Este caso demuestra la necesidad que tienen las organizaciones de desarrollar e implementar un gobierno de seguridad de la información y el requerimiento concomitante de desarrollar métricas útiles.