Modelos De Arquitectura De Seguridad De Informacion 1.
ABSTRACT
El modelo de arquitectura de seguridad de TI es el conjunto de controles de infraestructura de TI recomendados para brindar un ambiente que minimice los riesgos asociados a la utilización de tecnologías de información y apoye las estrategias de negocio
2.
INTRODUCCIÓN
Las tecnologías de información permiten tiempos de respuestas adecuados en los procesos que se generen entre las empresas, los clientes y los proveedores. El Modelo de Arquitectura Arquitectura de Seguridad de la Información, proporciona a las empresas un marco de acción estratégico el cual establece las directrices en materia materia de seguridad de la información en los diferentes procesos organizacionales, las cuales permiten el conocimiento de las expectativas del negocio planteadas por la Alta Gerencia. Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información, asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio. Hoy día las organizaciones resuelven los problemas de seguridad segurida d de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado. Una respuesta sería crear una Arquitectura de Seguridad de la Información, la cual permitirá permitirá identificar los elementos y los componentes componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios apoyada en tres factores críticos de éxito: recursos humanos, procesos de negocio y tecnología.
3.
ELEMENTOS DE UNA BUENA ARQUITECTURA DE SEGURIDAD
Arquitecturas de seguridad eficaces ayudan a las organizaciones a mejorar la coordinación y esfuerzos empresariales en seguridad. Mediante el aprendizaje del modo en que las arquitecturas de la seguridad funcionan se puede ayudar a los auditores internos a maximizar los resultados de las auditorías de seguridad y a desempeñar un papel más proactivo en las actividades relacionas con la seguridad de su organización. Antivirus, cortafuegos y los sistemas de detección de intrusiones desempeñan un papel clave en la protección de las organizaciones contra amenazas externas. Para maximizar estas herramientas de seguridad, así como políticas y procedimientos existentes, las compañías deben disponer de una arquitectura empresarial que integre todos estos diversos elementos.
Esta arquitectura debe ser una actividad estructurada y coordinada que tenga en cuenta a las presonas, procesos y las herramientas que funcionan en conjunto para securizar los recursos de una organización y debe estar ligada al flujo continuo de la información que recorre la organización entera para adaptarla a los cambios. Para maximizar los esfuerzos de la auditoría, los nuevos auditores TI necesitan entender los componentes principales de una arquitectura de seguridad, los diversos marcos para diseñar y evaluar una arquitectura eficaz y cómo determinar la eficacia de la arquitectura.
4.
ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN
En las organizaciones cambia todo con el tiempo, por lo tanto las necesidades y requerimientos de seguridad también cambian. Por lo que hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, es por eso que es fundamental contar con una arquitectura de seguridad, cuyo objetivo principal es el tener una base en la que los nuevos riesgos generados por cualquier tipo de cambio se incluyan en la arquitectura de seguridad y estén alineados bajo este marco, de forma que este proceso sea lo mas transparente y sencillo para la organización. Algunas de las etapas que se deben considerar en una arquitectura son: Análisis de Vulnerabilidades y Evaluación de Controles. Corrección de Vulnerabilidades. Desarrollo de Políticas, Estándares, Guías, Procedimientos y Baselines. Creación de la Función Informática. Análisis y Evaluación de Riesgos. Estrategia de Seguridad. Programa de Concientización. Adquisición, Desarrollo e Instalación y Puesta a punto de herramientas. Monitoreo, Auditoria y Computo Forense.
Las instituciones y organizaciones al contar con una Arquitectura de Seguridad de la Información diseñada a su medida y basada en sus propios riesgos tecnológicos que impactan directamente a sus procesos de negocio o funcionales, le permitirá conocer el difícil, complejo y misterioso punto de equilibrio, entre el riesgo, el costo y la seguridad que necesita ser implantada, sin que estas medidas afecten la capacidad de operación y de servicio de la organización además de las ventajas competitivas que nos brinda la tecnología.
El tener una arquitectura de seguridad también garantizara que se tendrán todos los elementos necesarios para una adecuada administración de riesgos tecnológicos y podrá ser preciso en la identificación e implementación de los controles y mecanismos de seguridad que realmente requiere la organización y así evitar inversiones cuantiosas e innecesarias. Las organizaciones que tengan la convicción real y la visión lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la información y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización y en caso de que este tipo de intentos llegasen a materializarse estar seguros de que no impactaran de manera significativa, recordemos que no hay ningún mecanismo 100% seguro y que en algún momento las organizaciones siempre se enfrentaran con un incidente de seguridad, la diferencia versara en que ese incidente no afectara la capacidad de operación, servicio y en algunos casos la supervivencia de las organizaciones.
5.
MODELO DE ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN MASI
MASI es una estructura lógica conformada por cinco elementos que son procesos desarrollado mediante la asignación de actividades y tareas en SI pensadas y alineadas con los objetivos del negocio. 5.1.
Negocio
El objetivo de este elemento de MASI radica en la definición de estrategias de seguridad de la información alineadas con los objetivos organizacionales mediante el conocimiento detallado del negocio, para lograrlo se debe realizar un estudio y análisis de la siguiente documentación: la misión, la visión, el plan estratégico, las metas organizacionales, el cuadro de mando integral. Procedimiento de para el desarrollo del elemento de Negocio 5.2.
Normativa
Se enfoca en la definición de las directrices regulatorias organizacionales y de seguridad de la información, por tal razón involucra desde la normativa corporativa hasta lo normativa de seguridad de la información que se defina. 5.3.
Gestión de la Arquitectura de Seguridad
La Gestión de la Arquitectura se realiza teniendo en cuenta cinco elementos que son: Análisis de riesgo, monitorización, entrenamiento, actualización, mantenimiento. Estos elementos desarrollados en conjunto son la base para la adaptación de la metodología a las estrategias del negocio. 5.4.
Infraestructura tecnológica de seguridad de la información
La definición de la infraestructura de seguridad se define que la infraestructura de seguridad debe contemplar seis elementos que son: identificación, aseguramiento, segregación,
resistencia, correlación y monitoreo, los cuales están enfocados en garantizar tanto la visibilidad como el control de la infraestructura; la infraestructura de defensa en profundidad debe garantizar seguridad a nivel de: datos, aplicación, equipos de cómputo, red interna y perímetro. 5.5.
Acuerdos
Este elemento establece el medio o el canal de comunicación que garantice la integración del área de seguridad (proceso de seguridad) y la Alta Gerencia (expectativas del negocio), a fin de alinear los esfuerzos operacionales, tácticos y estratégicos del negocio.
6.
ARQUITECTURA DE SEGURIDAD DE INFORMACIÓN EN LA EMPRESA EISA
La Arquitectura de Seguridad de Información en la Empresa (EISA) es la práctica de aplicar un método riguroso y comprensivo para describir una estructura actual y/o futura y el comportamiento de los procesos de seguridad de una organización, sistemas de seguridad de información y subunidades de personal y organizativas, para que se alineen con las metas comunes de la organización y la dirección estratégica. La Arquitectura de Seguridad de Información en la Empresa está convirtiéndose en una práctica habitual dentro de las instituciones financieras alrededor del mundo. El propósito fundamental de crear una arquitectura de seguridad de información en la empresa es para asegurar que la estrategia de negocio y la seguridad de las tecnologías de la información (TI) están alineadas. Como tal, la arquitectura de seguridad de la información en la empresa permite la trazabilidad desde la estrategia de negocio hasta la tecnología subyacente.
6.1.
Metodología de la EISA
La práctica de la Arquitectura de Seguridad de Información en la Empresa conlleva desarrollar un marco de arquitectura de seguridad para describir una serie de arquitecturas de referencia corrientes, intermedias y objetivos y dedicarlas a alinear los programas de cambio. Estos marcos detallan las organizaciones, roles, entidades y relaciones que existen o deberían existir para llevar a cabo un conjunto de procesos de negocio. Aplicaciones exitosas de la Arquitectura de Seguridad de Información en la Empresa requieren una posición adecuada en la organización. La analogía con el plano de una ciudad es con frecuencia invocada en esta relación por ser instructiva. Un resultado intermedio de un proceso de arquitectura es un inventario extenso de la estrategia de seguridad del negocio, procesos de seguridad del negocio, cuadros organizacionales, inventarios de seguridad técnicos, diagramas de sistema e interfaz y topologías de red, así como de las relaciones explícitas entre ellos.
7.
MODELO DE ARQUITECTURA DE SEGURIDAD POR JAN KILLMEYER
El autor describe su modelo de ASI con base en la definición de cinco elementos: 7.1.
Organización de la Seguridad e Infraestructura: es el reconocimiento de la necesidad de alinear procesos de negocio con la SI, además declara la existencia de una persona encargada de su ejecución y gestión. 7.2.
Políticas, Estándares y Procedimientos: elemento conformado por tres conceptos diferentes interrelacionados, el primero de ellos la Política: es definida en términos de los objetivos del negocio y marcan la pauta para el comportamiento de los usuarios. 7.3.
Líneas base de seguridad y la valoración del riesgo: debido a la gran demanda de esfuerzo en tiempo y dinero en pruebas de vulnerabilidad en los dispositivos. 7.4.
Capacitación y entrenamiento de los usuarios: es el proceso de concienciación de los usuarios por parte de los encargados de la gestión en SI. 7.5.
Cumplimiento: este elemento es descrito como la etapa final del modelo, en cuanto es el mecanismo de revisión propuesto para observar que lo definido en cada elemento corresponda realmente a la intenciones de la Alta Gerencia y que el trabajo en SI este aportando a su materialización.
8.
MODELO DE ARQUITECTURA DE SEGURIDAD POR JEIMY CANO
Este es un modelo sustentado en la definición de tres elementos: 8.1. Estructuras: reconocimiento de los procesos fundamentales que precisan la esencia que componen la SI, entre estos se encuentran: la Información (reconocida como un activo), las Estrategias del Negocio (procesos que generan valor en la organización en su operación), los Fundamentos de la SI (basados en los principios de confidencialidad, integridad y disponibilidad como características de la información), y por último, la Administración de Riesgos (implementación de alguna metodología para descubrir vulnerabilidades y las estrategias para tratarlas y mitigar las amenazas). 8.2. Procesos: llevar a cabo la implementación de las buenas prácticas de seguridad; propuesta basada en la norma internacional ISO 27002. 8.3. Acuerdos: define la relevancia de establecer el canal de comunicación entre el área de SI y la Alta Gerencia. Entre los aspectos a tener en cuenta se encuentran: establecimiento de prioridades con la Alta Gerencia, competencias y habilidades requeridas en el área de SI, establecimiento y materialización del nivel de compromiso de la Alta Gerencia en los proyectos definidos en el Área de SI, la definición y operacionalización de los acuerdos de nivel de servicio, niveles de inversión en infraestructura de SI. Por último, se propone compartir y alinear la agenda interna de la Alta Gerencia, con la agenda interna del área de SI.
9.
MODELO ARQUITECTURA EMPRESARIAL
Los autores del modelo pertenecientes a IBM proponen dividirlo en cuatro dominios para hacerlo manejable (fundamentados en el hecho del continuo crecimiento y expansión del negocio): 9.1.
Dominio Procesos: procedimientos, herramientas y reglas que apoyan las actividades del negocio. 9.2.
Dominio Información y Conocimiento: trazabilidad en la trasformación de datos en información, hasta llegar al conocimiento en todos los niveles del negocio. 9.3.
Dominio Infraestructura: la conformación de la plataforma tecnológica (Sw, Hw y servicios) y de comunicaciones (redes e interconectividad) que apoya la ejecución de los procesos de negocio. 9.4.
Dominio Organización: definición de roles y responsabilidades de los usuarios del negocio así como de las relaciones de los interesados. Si bien este modelo no habla sobre SI, si es una perspectiva interesante que pretende esquematizar la administración y organización del negocio, y se convierte en un referente a tener en cuenta en el proceso de formalización de una ASI.
10. ARQUITECTURA DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN POR EL SANS INSTITUTE SANS es una de las instituciones más prestigiosas a nivel mundial en el tema de SI, cuenta con un modelo denominado InformationSystems Security Architecture: A Novel ApproachtoLayeredProtection cuya autor es George Farah, quien con base en la definición de cinco fases muestra cómo se desarrolla una arquitectura de seguridad para un sistema de información mediante el establecimiento de algunas directrices: 10.1. Realización de Evaluaciones de la Seguridad: el fin de dicha fase es encontrar vulnerabilidades al sistema de información, independiente de que se hayan aplicado o no controles. 10.2. Formulación del Diseño de los Objetivos de la Arquitectura de Seguridad: tiene su fundamento en los resultados de la Fase 1. 10.3. Construcción de Políticas y Procedimientos: teniendo los resultados de las dos fases anteriores, se procede a concebir una política apropiada para el negocio a través de su conocimiento. 10.4. Implementación del Diseño de los Objetivos de la Arquitectura de Seguridad: habiendo seguido secuencia en el cumplimiento de las fases.
10.5. Integración de las prácticas de seguridad para mantener el estado de seguridad: se propende por el mantenimiento de un entorno de trabajo seguro, basado en la aplicación exitosa de las fases del modelo.
11.
CONCLUSIONES
Como resultado de lo anterior también cualquier organización que siga este modelo será capaz de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materialización de los riesgos tecnológicos, a su vez se estará preparado para recibir y aprobar cualquier tipo de auditoria o revisión en materia de seguridad de la información y obtener cualquier tipo de certificación internacional y finalmente, lo más importante la Alta Dirección tendrá la tranquilidad de que la organización o institución se encontrara operando de manera segura y confiable.
12.
BIBLIOGRAFÍA
b:Secure for Bussines People, Noviembre, 2010; p18, Adrian Palma http://www.iiis.org/CDs2010/CD2010CSC/CISCI_2010/PapersPdf/CA626FI.pdf http://www.worldlingo.com/ma/enwiki/es/Enterprise_Information_Security_Architecture Carbone, J.A. (2004). IT architecture toolkit.Enterprise computing series. Upper Saddle River, NJ, Prentice Hall PTR Cook, M.A. (1 996). Building enterprise information architectures: reengineering information systems. Hewlett-Packard professional books.Upper Saddle River, NJ, Prentice Hall. KILLMEYER, Jan. Information Security Architecture: An Integrated Approach to Security in the Organization. 2ª edición. Estados Unidos: Auerbach, 2006. 393p CANO, Jeimy. Arquitecturas de Seguridad Informática:Entre la administración y el gobierno de la Seguridad de la Información. En: SEMINARIO DE ACTUALIZACION EN SEGUIDAD INFORMATICA. (2008: Bucaramanga). Documento Modulo I Seminario de Actualización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 28. IYER, Bala. GOTTLIEB, Richard. The Four-Domain Architecture: An approach to support enterprise architecture design. Julio 21 de 2004.Disponible en Web: http://www.research.ibm.com/journal/sj/433/iyer.html
SysAdmin Audit, Networking and Security Institute. Information Systems Security Architecture: A Novel Approach toLayeredProtection. Estados Unidos. SANS, 2004 MORA, Cristian. Implementación de Sistemas de Información Seguros [San Pedro Sula, Honduras]: Julio de 2005.