GESTIN DEL RIESGO EN LA SEGURIDAD INFORMTICA: EL NUEVO ESCENARIO DEL CONTROL

JUAN HONORATO MAZZINGHI honorato.juan@gmail.com GERENTE GENERAL CIDEM CONSULT S.A. CHILE Estudio aprobado por el Comit Cientfico del X Seminario Iberoamericano de Seguridad en las Tecnologas de la Informacin. Ciudad Habana, Febrero 2011 RESUMEN
La ponencia incluye antecedentes de experiencias y vivencias reales del expositor, en el desempeo de la funcin de responsable de la seguridad informtica y de la documentacin electrnica en la Contralora General de la Republica de Chile, entre los aos 2005 y 2009. Asimismo, se refiere a aspectos sustantivos de las polticas de seguridad y manejo del riesgo en los rganos de la administracin del estado en chile. Hay un primer aspecto inevitable, relativo a fijar el marco conceptual del estudio. Tambin incorpora un capitulo relativo a examinar, a partir de las experiencias empricas desarrolladas, las que podran llamarse claves del xito en la gestin del riesgo en la seguridad informtica. Otro aspecto relevante que ser estudiado en la presentacin es el relativo al diseo y puesta en marcha de un sistema de gestin del riesgo en la seguridad INFORMATICA.

ABSTRACT
The paper include a record about author experience and real life , in his work like Chief of the

technology security and the electronis documation, betwen the years 2005 to 2009, in the CGR of Chile. In the same way, is refer to substantive topics about secutity policys and risk management in the publics services in Chile. There are one first topics inevitable, related with to setle the conceptual frame of the study. Also include a chapter related to examine, based in the real experiences of the author, the succes key in the risk mangememt of the information technology security. Finally, an other topic outstanding that will be study in the presentation, is that related to the design and start on of a mangement risk system for the information technology security.

INTRODUCCIN
El presente estudio, basado en buena parte en escenarios empricos en que ha participado el autor, pretende ser una aportacin til al Torneo Internacional y asimismo, una contribucin que anime el inters de los estudiosos y expertos en el tema, para profundizar los comentarios y alcances que se han incluido. Nos asiste la conviccin, y con el debido respeto por otras opiniones, que el tema de la gestin del riesgo de la seguridad informtica en las instituciones pblicas, se asocia ms b en con la urgente necesidad de contar con una Cultura de la Seguridad debidamente operativa, ms que con disponer de sofisticados SW y HW para tales efectos, que no obstante ser requeridos y necesarios, no cierran del todo el tema. Pensamos que definir una estrategia para crear una cultura corporativa de seguridad, debidamente difundida, conocida y apoyada por todos los miembros de la organizacin, puede contribuir eficazmente , al urgente alineamiento del capital intelectual en torno a sus demandas y exigencias.

I.- EL MARCO CONCEPTUAL PARA LA SEGURIDAD DE LA INFORMACIN Y DE LOS SISTEMAS.

Un primer aspecto en esta materia se refiere al cambio paradigmtico observado en el quehacer pblico en Chile, que ha generado un concepto cada vez ms internalizado en los lenguajes de complicidad de la administracin, al punto que hoy se habla sin mayores restricciones de ADMINISTRACIN Y SOCIEDAD DIGITAL y con ello, se posiciona la presencia de los siguientes aspectos relevantes en la gestin de los rganos de la Administracin Pblica: MASIFICACION EN EL USO DE LAS TECNOLOGIAS GOBIERNO Y ADMINISTRACION PUBLICA ELECTRONICAS ORIENTACION A LOS CIUDADANOS TECNOLOGIAS BUSCAN MEJORES SERVICIOS EN INTERNET EL USO DE LAS TECNOLOGIAS, ACARREA UNA AUTNTICA REVOLUCION CULTURAL EN LOS CIUDADANOS Y as las cosas en este nuevo escenario, se promueve el reforzamiento del uso intensivo de la documentacin y trmites electrnicos, en ambientes virtuales, en la mayora de los servicios de la Administracin del Estado. Cada vez con mayor fuerza se acua el concepto de la SEGURIDAD INFORMATICA COMO PROCESO Y NO COMO PRODUCTO y ello, asociado a aspectos y fundamentos, que van dando al solidez requerida por la nueva cultura pblica que se instala. Como caractersticas sobresalientes de este nuevo entendimiento podemos sealar las siguientes: SU FIN PRINCIPAL TIENE QUE VER CON LA CONTINUIDAD DE LAS OPERACIONES

TAMBIEN CON LA PROTECCION DE LA DOCUMENTACION ELECTRONICA Y CON LA PROTECCION DE ACTIVOS Y BIENES LOS INCIDENTES DE SEGURIDAD AFECTAN LA CONFIANZA EN LA ORGANIZACIN LA SEGURIDAD ES UN FENOMENO INTEGRAL

Se pueden apreciar claramente, tres planos relevantes par asegurar la conviccin de la necesidad de aplicar esfuerzos en materia de seguridad informtica: EL PROACTIVO: POLITICA GENERAL DE SEGURIDAD QUE INTEGRE LA DIRECCION, LA EJECUCION Y EL CONTROL. EL ORGANIZATIVO: COMO RESPUESTA NATURAL Y ESTRUCTURAL A LAS DEMANDAS NORMATIVAS. EL TECNOLOGICO: SE REFIERE A LA SEGURIDAD LOGICA; AL ACCESO A LOS SISTEMAS; A LA CERTIFICACION DE IDENTIDADES DIGITALES; A LA FIRMA ELECTRONICA; ETC. En Chile, y de acuerdo con la norma chilena Nch 2777 y la ISO/IEC 2000, la seguridad de la informacin tiene que ver con la solvencia y permanencia de los siguientes elementos: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD EVALUACION DEL RIESGO GESTION DEL RIESGO

Para la debida efectividad en el logro de los propsitos sealados, resulta sugerente la conformacin de un Comit de Seguridad de la Informacin, que al menos tengan las siguientes funciones y subsecuentes responsabilidades:

DETERMINAR ROLES Y RESPONSABILIDADES ACORDAR METODOLOGIAS Y PROCESOS ESPECIFICOS ACORDAR Y APOYAR LAS INICIATIVAS DE SEGURIDAD EN TODA LA CGR. GARANTIZAR QUE LA SEGURIDAD SEA PARTE DEL PROCESO DE PLANIFICACION DE LA INFORMACION EVALUAR LOS CONTROLES DE SEGURIDAD. REVISAR LOS INCIDENTES DE SEGURIDAD PROMUEVE LA SEGURIDAD EN LOS NEGOCIOS

II.- LAS CLAVES EL XITO EN MATERIA DE SEGURIDAD INFORMTICA

La experiencia acumulada, en el trabajo realizado en la CGR de Chile, durante ms de 4 aos, como responsable de la seguridad informtica y de la

documentacin electrnica corporativa, unida a la nutrida informacin disponible, nos permite aproximar una categorizacin de decisiones de gestin, que en conjunto y sistmicamente, pueden definir algunas claves o llaves, para avanzar con xito en esta delicada misin de resguardar adecuadamente la seguridad de la documentacin electrnica y de la informtica. Los que a continuacin se examinan son los propsitos inevitables, que hay que acreditar, para crear un escenario de llaves o claves para el avance exitoso en esta materia: A) ESTRATEGIAS DE IMPLANTACION Para la acreditacin de este propsito, en el levantamiento de los procesos asociados, debera formularse las siguientes interrogantes, con las respuestas debidamente respaldadas: existe una estrategia en relacin con empleo de las TIC, aprobada y conocida por todos? estn planificadas las acciones? la planificacin de las TIC est alineada con el plan estratgico de la organizacin? la alta direccin esta involucrada en el seguimiento? funciona un Comit de Seguimiento? participan en el la direccin, el centro de informtica y los usuarios? B) POLITICAS, NORMAS Y PROCEDIMIENTOS Para la acreditacin de este propsito, en el levantamiento de los procesos asociados, debera formularse las siguientes interrogantes, con las respuestas debidamente respaldadas: hay en operacin polticas corporativas para el uso de las ti? se han establecido polticas operativas para los diferentes negocios? existen control para mitigar el riesgo? las polticas son conocidas por los empleados? existen procedimientos ti que especifiquen y documenten los procesos de negocios? hay agentes preocupados de la mantencion de las polticas?

C) GESTIN DE LOS SISTEMAS DE INFORMACION Para la acreditacin de este propsito, en el levantamiento de los procesos asociados, debera formularse las siguientes interrogantes, con las respuestas debidamente respaldadas:

son los SIA un engranaje fundamental de la operacin de las unidades de negocios?

se ha definido una poltica de seguridad de la informacin? se han comunicado estas polticas y se aplican? hay instructivos para la gestin tic con outsourcing? existen mediciones del grado de satisfaccin de usuarios? hay agentes preocupados por los costos financieros y por la calidad?

D) ORGANIZACIN SERVICIOS TIC Para la acreditacin de este propsito, en el levantamiento de los procesos asociados, debera formularse las siguientes interrogantes, con las respuestas debidamente respaldadas: estn definidas la estructura, funciones y responsabilidades en la gestin del tic? la unidad creada, asume todas las funciones tic? hay adecuada oposicin de funciones en el entorno operativo? se han definido perfiles de competencia, para cada desempeo de cargos en la unidad tic? hay polticas de capacitacin para los profesionales tic? se ha instalado para la unidad, la filosofa de mejoramiento continuo?

E) LOS PROCESOS DE AUDITORIA Y CONTROL A LAS TIC

Para la acreditacin de este propsito, en el levantamiento de los procesos asociados, debera formularse las siguientes interrogantes, con las respuestas debidamente respaldadas:

existen procedimientos formales o manuales en la materia? se informan los resultados de las auditorias? se publican en un sitio colaborativo para conocimiento de todos? se auditan los procesos de negocios en escenarios informatizados? se mide el impacto de implantar y aplicar tecnologas informticas en los procesos de negocios? La informacin que se rescate del levantamiento de estos procesos claves relacionados con la infraestructura y funcionalidades de la seguridad informtica corporativa, permitir reducir de manera potente la variedad y la incertidumbre posibles, en materia de las decisiones estratgicas que habr que tomar para implantar un sistema de control de gestin de la seguridad informtica (SGSI), que garantice su xito.

De esta forma, ser posible gestionar favorablemente factores crticos de xito en la implantacin de un SGSI, como los siguientes: Grado de madurez de la organizacin Definicin del mbito y del alcance Evaluacin de riesgos Controles internos en las 4 e (eficiencia, eficacia, economicidad y tica). Plan de auditorias Recursos humanos calificados Compromiso de la autoridad

3.- PRINCIPIOS Y REQUISITOS BASICOS EN LA SEGURIDAD INFORMTICA

Los principios universalmente aceptados son los siguientes: CONFIDENCIALIDAD: Relacionado con la reserva necesaria de los procedimientos y protocolos de seguridad. INTEGRIDAD: Tiene que ver con la certeza y solidez de los datos relativos al sistema de seguridad informtica. DISPONIBILIDAD: Acceso 7 por 24. PREVENCION: Gestin del Riesgo PROTECCION: Busca eliminar vulnerabilidades GESTION DE CRISIS :Cuando ella es inevitable, se pretende minimizar sus impactos GESTION DE CONSECUENCIAS: Acertividad en la nueva situacin. Las cuestiones trascendentes en materia de seguridad informtica tienen que ver con que las decisiones que se tomen, estn alineadas con requerimientos bsicos de gestin relacionados con los siguientes requerimientos inevitables: GESTION GLOBAL Y CORPORATIVA DE LA SEGURIDAD PLAN ESTRATEGICO DE SEGURIDAD CUADRO DE MANDO INTEGRAL PARA LA SEGURIDAD INFORMATICA INSTALACION DE UN SGSI MODELOS DE MADUREZ DE LA SEGURIDAD

4.- EL RIESGO EN LA SEGURIDAD INFORMATICA: EL MARCO CONCEPTUAL PARA UN TEMA TRASCENDENTE.

En el marco puramente conceptual, el Riesgo se entiende como la posibilidad de que un evento, contingencia o episodio ocurra y que pueda tener impacto en los procesos del negocio; en los objetivos y en las metas corporativas.

Es muy improbable el cero riesgo, pero si se puede mitigar de manera importante, mediante eficaces sistemas de control y la disponibilidad de mapas de riesgo. Desde el punto de vista organizacional o corporativo es posible disponer de un modelo estratgico de gestin del riesgo, que sea capaz de reducir sus impactos y mitigar los efectos y alcances, cuando este sea inevitable asumir. Un modelo estratgico de gestin del riesgo, an aceptando que los modelos son solo aproximaciones, debera tener los siguientes elementos que, claramente, permiten aumentan la capacidad del modelo para prevenir a la organizacin cuando ello es una realidad sin vuelta: Presencia de controles de seguridad necesarios para mitigar el riesgo asociado a la fuga de informacin. Desarrollo de una poltica de seguridad corporativa. Amplio espacio para implementar controles efectivos. Definicin de polticas de gestin de identidad y de accesos a la informacion Decisiones slidas en cuanto a la relevancia de tener planes de promocin de una cultura de seguridad Inversiones en procedimientos electrnicos para la gestin de contenidos de la documentacin electrnica (Knowledge Management) Disposicin de soluciones integrales de cifrado de datos Ahora bien, en nuestra propia experiencia en la CGR de Chile, rescatamos como una cuestin trascendente, en cuanto a que la gestin del riesgo en la seguridad de la informtica y de la documentacin electrnica, no pasa tanto por la riqueza en HW y SW, sino que lo hace ms bien, por la riqueza del capital intelectual de la entidad y por como este , en un proceso de conversaciones inteligentes de carcter permanente, es capaz de asociar la seguridad y sus exigencias, con los logros en su propio bienestar, y con ello, asume una buena disposicin para desarrollar un concepto de CULTURA DE LA SEGURIDAD INFORMATICA en la Institucin. Apreciamos los siguientes como principios rectores para un modelo de Cultura de la Seguridad Informtica: CONOCIMIENTO: ESTO ES CONCIENCIA DE SU NECESIDAD RESPONSABILIDAD: DE TODOS

RESPUESTA: CONDUCTA PROACTIVA FRENTE A INCIDENTES ETICA: RESPETO POR LOS DEMAS

EVALUACION DE LOS RIESGOS : EN FORMA PERMAN ENTE DISEO E IMPLEMENTACION DEL MODELO : EN BREVE PLAZO

GESTION DE LA SEGURIDAD: EN LA ORGANICA DE LA ENTIDAD

FEEDBACK Y MEJORAMIENTO CONTINUO : PROCESOS RELEVANTES El marco lgico para el anlisis y evaluacin del riesgo en la seguridad informtica puede definirse como sigue: Lo primero es tener muy claro que la exposicin al riesgo, pasa por una clara definicin de las AMENAZAS, IMPACTOS Y VULNERABILIDADES de la entidad y su modelo de gestin. A su turno, ese escenario est en directa relacin con aspectos organizacionales vinculados con a lo menos, los ACTIVOS (infraestructura) SERVICIOS y CONTROLES existentes, y sus capacidades de eficiencia, eficacia y oportunidad, y es en este esquema, en el que deben resolverse las decisiones relativas al Riesgo In gerente y al Riesgo Efectivo. Finalmente, en esta materia se estima de utilidad, tener presentes los siguientes documentos: UNE-I50/IEC 17.799 CODIGO DE BUENAS PRCTICAS PARA LA GESTION DE LA SEGURIDAD INFORMATICA INFORME UNE 71.501 PARTE 3 ESTRATEGIAS DE GESTION DE LA SEGURIDAD EN TI. RIESGO COMBINADO INFORME UNE 71.502-2004 ESPECIFICACIONES PARA LOS SGSI Para un efectivo anlisis del riesgo en el sistema de informacin y en la seguridad informtica, es sugerente desglosar un proceso de negocios, lo que facilita el anlisis y la gestin del riesgo, a partir de los subprocesos asociados. Asimismo, precisar los flujos de transacciones relevantes y diferenciados, asociados a productos del negocios, permite identificar los procesos. As entonces, la gestin de un sistema de informacin, se examen a como PROCESO y como SUBPROCESOS, por ejemplo, el uso de la Plataforma Tecnolgica, la gestin del Desarrollo y Explotacin, Aplicaciones de HW y SW de Seguridad, las acciones en materia de Soporte y Mantencin y la funcin de Comunicaciones. Las reas ms sensibles en materia de evaluacin del riesgo en la seguridad informtica podran ser las siguientes:

SISTEMAS OPERATIVOS APLICACIONES REDES SERVIDORES DOCUMENTACION ELECTRONICA INTRANET INTERNET LO FISICO USUARIOS En el modelo de gestin de la seguridad, es posible advertir algunos requisitos esenciales, para asegurar su eficiencia, como los que se indican:

Definiciones de accesibilidad (autenticacin) de identidades y permisos Reforzar la confidencialidad de la informacin relevante.

Declarar corporativamente el valor de la documentacin electrnica como activo Impedir accesos no autorizados Integridad de la informacin, promoviendo una sola identidad responsable y la no manipulacin de la informacin Procurar disponibilidad permanente y garantizar el 99,9%

Nos parece interesante comentar algunos aspectos relativos a los principales problemas en seguridad informtica, que suelen ser pan de cada da en la gestin informtica de las organizaciones, y que, se resuelven con soluciones de la ms variada ndole, y en muchos casos recurriendo al talento y creatividad de los propios usuarios de los sistemas. As, podemos mencionar los incidentes mas frecuentes en esta materia: NO COMPRENDER LOS OBJETIVOS GENERALES DE LA ORGANIZACIN SEGURIDAD NO FUNCIONAL A ESOS OBJETIVOS NO SE CONTRIBUYE A OPTIMIZAR LOS PROCESO DE NEGOCIOS NO CONTROLAR EL CUMPLIMIENTO DE TIEMPOS Y RECURSOS AUSENCIA DE PLANIFICACION Y EVALUACION EN DEMANDA DE RECURSOS. Ahora bien, en el mundo real de las organizaciones pblicas en Chile, no se esta al margen de ataques que traen consecuencia de diversa naturaleza y que pueden resumirse, de acuerdo a su frecuencia, como sigue:

INTERCEPCION DE CONTRASEAS ROTURA DE CONTRASEA

FALSIFICACIONDE IDENTIDADES ROBO DE INFORMACION DESTRUCCION DE DATOS

DENEGACION DEL SERVICIO

Claramente estos episodios traen consigo diversidad de impactos en los sistemas y entre ellos, mencionamos los siguientes:

USO ILICITO DE LA INFORMACION PERDIDA DE DATOS INTERRUPCION DEL SERVICIO PERDIDAD DE IMAGEN RESPONSABILIDADES LEGALES
Finalmente queremos aportar algunas reflexiones para animar una mejor administracin de la seguridad informtica corporativa y ello, por cierto, sin agotar para nada el tema. DIAGNOSTICO INICIAL DE LA SEGURIDAD Fundamental para la toma de decisiones, basada en redefinicin subprocesos asociados al negocio central y sus productos. de los procesos y

PLAN INTEGRAL DE LA SEGURIDAD Esto implica realizar un sostenido esfuerzo de naturaleza corporativa y sistmica. DEFINICION DE POLITICAS Aspecto significativo y relevante, como factor crtico de xito, en la medida que ello traduce el compromiso de la alta direccin publica. DEFINICION DE ESTANDARES Necesario par los efectos del cumplimiento de metas y controles internos en general. IMPLANTACION DE PROCEDIMIENTOS Fuerte aporte a la normalizacin de los quehaceres cotidianos y notable contribucin para el alineamiento del personal. CLASIFICACION DE ACTIVOS INFORMATICOS Informacin necesaria para el enfoque realista ante episodios o incidentes informticos.

EVALUACION DE RIESGOS EN SEGURIDAD Contar con ello, no es solo una necesidad, sino que ms bien, una autentica emergencia institucional

DEFINICION DE EQUIPOS RESPONSABLES Clave par el xito del modelo.

DECISIONES EN SW DE SEGURIDAD Importante, pero, cuidado con poner la carreta delante de los bueyes.

10

BSC EN SEGURIDAD INFORMATICA Esencial como herramienta par el control de gestin de la informtica corporativa.

CONCLUSIONES Como una forma de contribuir a seguir avanzado en el tema, sealamos resumidamente
algunas reflexiones finales: La gestin del riesgo en la seguridad informtica en la institucin, es responsabilidad de TODOS. Lo esencial es crear y desarrollar, al interior de la organizacin, una CULTURA DE LA SEGUIRIDAD. El alineamiento del personal, con la estrategia de seguridad, es un FACTOR CLAVE DE XITO del modelo que se resuelva implantar. El compromiso e involucramiento de la alta direccin, HACE SUSTENTABLE el modelo. En las decisiones de SW y HW, poner la carreta delante de los bueyes PUEDE SER FATAL.

BIBLIOGRAFIA
1. APUNTES PERSONALES DEL AUTOR 2. LIBRO ELECTRONICO DE SEGURIDAD INFORMATICA Y CRIPTOGRAFIA. JORGE RAMI AGUIRRE 3. SECURITY ENGINEERING THE BOOK ROSS ANDERSON 2 EDICION 2007 4. AUDITORIA DE SISTEMA Y POLITICAS DE SEGURIDAD INFORMTICAS PAPER PUBLICADO EN MONOGRAFIAS.COM

11