Es La funcin de Seguridad Informtica en la empresa

octubre 18, 2007 Dejar un comentario Por Omar Alejandro Herrera Reyna Este siempre ha sido un tema complicado porque cada organizacin es distinta y no hay un acuerdo sobre la mejor manera de organizar un rea de seguridad informtica en una empresa. Por lo tanto lo que les expongo aqu no es una mejor prctica, simplemente se trata de algunas sugerencias basadas en mi experiencia. Componentes principales de un rea de seguridad informtica Existen diversas funciones que debe desempear un rea de seguridad informtica y stas se pueden agrupar de la siguiente manera:

Hay un par de reas que no son tan comunes y que estn en color gris en el diagrama: normatividad y desarrollo. Al revisar las responsabilidades y funciones de cada rea quedar ms claro el por qu. Por lo pronto les comento que es menos probable encontrar estas 2 reas en empresas medianas o pequeas, mientras que en empresas grandes es ms comn que existan las 4 reas junto con la figura del lder de rea. Lder de rea Esta figura, a la cual se le suele conocer como CISO (Chief Information Security Officer Oficial de Seguridad informtica). Entre sus responsabilidades se encuentran: * Administracin del presupuesto de seguridad informtica * Administracin del personal * Definicin de la estrategia de seguridad informtica (hacia dnde hay que ir y qu hay que hacer) y objetivos * Administracin de proyectos

* Deteccin de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solucin El lder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa. Normatividad Es el rea responsable de la documentacin de polticas, procedimientos y estndares de seguridad as como del cumplimiento con estndares internacionales y regulaciones que apliquen a la organizacin. Dado que debe interactuar de forma directa con otras reas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las reas pero todas reportan al CISO. Por esta razn se le suele ver como un rea que asiste al CISO en las labores de cumplimiento. Operaciones Es el rea a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del rea (en otras palabras, la gente que est en la trinchera). Entre sus responsabilidades se encuentran: * Implementacin, configuracin y operacin de los controles de seguridad informtica (Firewalls, IPS/IDS, antimalware, etc.) * Monitoreo de indicadores de controles de seguridad * Primer nivel de respuesta ante incidentes (tpicamente a travs de acciones en los controles de seguridad que operan) * Soporte a usuarios * Alta, baja y modificacin de accesos a sistemas y aplicaciones * Gestin de parches de seguridad informtica (pruebas e instalacin) Supervisin Es el rea responsable de verificar el correcto funcionamiento de las medidas de seguridad as como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del rea de normatividad). Entre sus responsabilidades se encuentran: * Evaluaciones de efectividad de controles * Evaluaciones de cumplimiento con normas de seguridad * Investigacin de incidentes de seguridad y cmputo forense (2 nivel de respuesta ante incidentes) * Atencin de auditores y consultores de seguridad Noten que las actividades de monitoreo las realiza el rea de operaciones y no el rea de supervisin. Esto es porque el monitoreo se refiere a la vigilancia del estado de la seguridad de la empresa a travs de los controles, pero las actividades del rea de supervisin se limitan a la vigilancia de las actividades de seguridad que realizan otras reas. La nica excepcin es la investigacin de incidentes. Operaciones no investiga porque en algunos casos podran se juez y parte. Por ejemplo, en el caso de una intrusin no es vlido que el mismo personal que operaba los controles que protegan el servidor investiguen el suceso porque no puede haber objetividad (aunque no sea el propsito de la investigacin, de cierta

manera los resultados de la misma podran calificar indirectamente la efectividad del personal del rea de operaciones). La razn por la cual es preferible que esta rea sea el punto de contacto con auditores y consultores es porque sus labores son afines y es ms probable que tengan a la mano la informacin que requieran o sepan quin la tiene. Desarrollo Es el rea responsable del diseo, desarrollo y adecuacin de controles de seguridad informtica (tpicamente controles de software). Entre sus responsabilidades se encuentran: * Diseo y programacin de controles de seguridad (control de acceso, funciones criptogrficas, filtros, bitcoras de seguridad de aplicativos, etc.) * Preparacin de libreras con funciones de seguridad para su uso por parte del rea de Desarrollo de Sistemas * Soporte de seguridad para el rea de Desarrollo de Sistemas * Consultora de desarrollos seguros (integracin de seguridad en aplicaciones desarrolladas por Sistemas). Bsicamente se trata de un rea de desarrollo enfocada a cuestiones de seguridad. La razn de requerir un rea dedicada para esto es que la integracin de controles efectivos en software es una tarea muy compleja; el perfil de un programador promedio no incluye experiencia ni conocimientos en seguridad (y particularmente en criptografa). Esta es la razn por la cual slo las grandes empresas cuentan con un rea de desarrollo de seguridad que est formada por especialistas en vez de programadores ordinarios. Dnde debe estar la funcin de Seguridad Informtica? Este es otro problema para el cual no hay una respuesta nica. Podemos empezar por listar las reas o direcciones de las cuales no debe de depender el rea de Seguridad Informtica: * Sistemas Mucho de lo que vigila el rea de operaciones de seguridad son precisamente los sistemas y las redes de telecomunicacin. El rea de sistemas tiene como prioridad la operacin, y los controles tienden a impactar de cierta forma el desempeo y flujo operativo (pero no por esto dejan de ser necesarios). El hecho de que Seguridad Informtica dependa del rea o Direccin de Sistemas genera conflictos de inters. * Auditora Interna La funcin de auditora es verificar la efectividad y existencia de controles en todas las reas de la organizacin (incluyendo Seguridad). Auditora no opera, pero el rea de Operaciones de Seguridad s, por lo que habra conflictos de inters (Auditora revisara en parte algo que ella misma hace, lo que la convertira en juez y parte) * Unidades operativas del negocio por la misma razn que para el rea de Sistemas Por supuesto hay algunas reas que no hace mucho sentido que incluyan la funcin de Seguridad Informtica (Recursos Materiales y Recursos Humanos, por ejemplo), pero hay reas donde s puede colocarse esta funcin, como por ejemplo: * Cumplimiento Cumplimiento no es Auditora. El rea de Cumplimiento define establece las normas internas y supervisa su aplicacin de la misma manera que las reas de Normatividad y Supervisin lo hacen dentro de la funcin de Seguridad Informtica.

* Jurdico Esta rea atiende todos los asuntos legales de la empresa. Como tal el tener al rea de Seguridad dentro de la misma constituye un excelente apoyo para implementar controles que garanticen el cumplimiento de la ley. * Finanzas Esta rea se asegura del buen uso del dinero de la empresa. Contar con un rea de Seguridad Informtica le permite asegurar la implementacin adecuada de controles para minimizar riesgos que tengan impacto econmico (fraudes, fugas de informacin, etc.). Dada la dependencia de los sistemas informticos para el manejo de las finanzas en la actualidad este esquema es una buena opcin para algunas empresas. * Riesgos El rea de Seguridad Informtica dependiendo del rea de riesgos permite controlar y evaluar la mitigacin de aquellos riesgos que afectan a los sistemas informticos y la informacin que se almacena, procesa, genera o transmite a travs de los mismos. Dada la dependencia que tienen muchos procesos productivos de los sistemas de informacin en la actualidad, sta es una buena opcin tambin para muchas empresas. * Direccin General Permite tener un estricto control de los recursos informticos de la Empresa. Desafortunadamente este esquema es difcil por la diferencia de lenguajes y niveles entre ambas reas as como las prioridades y el poco tiempo que suele tener la Direccin General, pero algunas organizaciones as lo tienen (por ejemplo, algunos Bancos). Podra parecer que la existencia de las reas de Operaciones y Desarrollo de Seguridad generan un conflicto de inters en los casos anteriores, pero no es as, ya que el conflicto est controlado por la separacin interna de funciones dentro de la misma rea de Seguridad; con respecto al resto de las reas, no se interfiere con su operacin y existe separacin de funciones, ya que el rea de Operaciones de Seguridad realiza nicamente funciones de soporte al negocio y no interviene de forma directa en dichos procesos. Adicionalmente, la existencia de un rea de Auditora Interna separada permite una revisin imparcial de las funciones de Seguridad que dependa de cualquiera de las 3 reas mostradas anteriormente. En ninguno de los casos anteriores la implementacin y supervisin de controles de seguridad informtica es un factor tan importante debido a su orientacin a controlar; a diferencia del caso de Sistemas, donde su orientacin es a produccin. De todas maneras, no hay un rea ideal de dnde colgar al rea de Seguridad Informtica (si la hubiera, todo mundo lo hara as) quizs la dependencia directa de la Direccin General pero no es viable o fcil de lograrla en muchas empresas. Funcin Centralizada o Distribuida? Nuevamente, una pregunta que ha dado origen a interminables discusiones filosficas sin ningn consenso, pero aqu tratar al menos de definir ventajas y desventajas de ambos esquemas as como algunas estrategias de distribucin que han funcionado en algunas organizaciones. Funcin centralizada La funcin centralizada permite un mejor control y desempeo de las funciones de seguridad informtica, sin embargo, este esquema tambin suele generar algunos roces con otras reas de la empresa, particularmente con el rea de Sistemas.

En mi opinin esta es una mejor opcin para reas donde el control sea esencial (incluso requerido por regulacin) y se pueda sacrificar algo de desempeo en produccin a costa de una mejor vigilancia. Algunos sectores que donde este esquema puede ser benfico son: Financiero, Farmacutico, Salud, Gobierno, Organismos Militares y Organismos Policiales. Existe tambin la opinin de muchos especialistas de no slo mantener una funcin central de Seguridad informtica, sino incluso fusionarla con el rea de Seguridad Fsica. Mi opinin al respecto es que debe existir integracin entre ambas funciones de seguridad, pero en mi experiencia la dependencia de una de la otra no genera siempre buenos resultados. Lo ideal en mi opinin es integrar ambas bajo un mismo lder, el famoso CSO (Chief Security Officer). El nico cambio que yo vera en la integracin de ambas funciones es el pasar la responsabilidad de implementacin de los controles de seguridad fsica al rea de Seguridad Informtica (lo mismo con el desarrollo de controles si es el caso). Esto debido a que hoy en da, la mayora de los controles de seguridad fsica se basan en sistemas informticos (control de acceso, CCTV, alarmas de intrusin, etc.) y es ms eficiente realizar estas funciones a travs de gente con conocimientos y experiencia en sistemas. En este caso, el rea de Seguridad (fsica e informtica) podra distribuirse de la siguiente manera:

Funcin Distribuida Para algunas organizaciones hace ms sentido distribuir la funcin de la seguridad ya que esto permite tener un mejor desempeo operativo a costa de menor control y desempeo en la seguridad informtica. Algunos ejemplos de sectores de empresas donde esto suele suceder son: Manufactura, Servicios, Consultora, Telecomunicaciones y Comercial. En este esquema podemos pasar algunas funciones a reas que normalmente no deberan contar con toda la funcin de seguridad informtica. Por ejemplo, podramos pasar las reas

de Operaciones de Seguridad y Desarrollo de Seguridad al rea de Sistemas, integrndolas en las funciones correspondientes, siempre y cuando exista un lder de Seguridad Informtica separado y que la funcin de Supervisin tambin se encuentre separada. El rea de Normatividad de Seguridad podra recaer en el rea de Cumplimiento y el rea de Supervisin de Seguridad podra pasarse al rea de Auditora Interna (igualmente, slo si las reas de Operaciones de Seguridad y Desarrollo de Seguridad estn en otro lado). Finalmente el CISO puede depender de alguna de las reas antes mencionadas. Un ejemplo de una funcin de Seguridad totalmente distribuida sera el siguiente:

Mi esquema preferido es un esquema parcialmente distribuido, donde el rea de Seguridad Informtica Depende directamente de la Direccin General y cuenta con reas de Supervisin y Normatividad, mientras que las reas de Operaciones de Seguridad y Desarrollo de Seguridad dependen del rea de Sistemas. Una de las razones principales por las que prefiero que estas 2 reas dependan de Sistemas es por la burocracia que se genera al tenerlas dentro de un rea de Seguridad centralizada. Por ejemplo, si un rea operativa requiere que se abra un puerto en un firewall para instalar un nuevo sistema que urge (ya saben que en las empresas todo urge) es ms rpido que el equipo de Operaciones de Seguridad en el rea de sistemas se ponga de acuerdo con el equipo de Telecomunicaciones y aplique el cambio despus de una breve revisin de impacto. Si hubiera algn conflicto de inters (ej. que se encontrara algn riesgo pero que el Director de Sistemas ordenara el cambio de todas maneras), eventualmente el rea de Seguridad (a travs del Equipo de Supervisin de Seguridad) se dara cuenta y tomara acciones (de forma directa o a travs de otra rea). Igualmente, para resolver algn problema de Seguridad sencillo (por ejemplo una infeccin por Virus) es ms fcil y rpido si el rea de Operacin de Seguridad est dentro de sistemas porque en estos casos esta rea requiere del apoyo de personal de Sistemas (administradores por ejemplo); en el peor de los casos un Director de Sistemas podra pedir que se retrase la solucin para dedicar a su gente a resolver otros problemas que considera ms urgentes.

Si bien este tipo de conflictos se llegan a presentar, de acuerdo a mi experiencia son menos frecuentes de lo que mucha gente piensa (en la actualidad, la mayora de los Directores de Sistemas y el personal de esta rea se han sensibilizado ante los problemas de seguridad informtica) y el beneficio en trminos de tiempos de respuesta y menor roce con el rea de Seguridad bien valen la pena. Pero sta es slo mi opinin. Fuente: http://candadodigital.blogspot.com/2007/10/la-funcin-de-seguridad-informtica-enla.html www.segu-info.com.ar

Me gusta:
Me gusta Be the first to like this.

Deja un comentario
guest

Aade tu comentario aqu...

Please log in using one of these methods to post your comment:

(requerido)(Address never made public)(requerido)(
1342047752

Log Out / Cambiar )( Log Out / Cambiar )( Log Out / Cambiar )

El SWAT asalta casa de inocentes por culpa del falso aviso de un cracker Qu es la Teora de Juegos?

Qu es esto?
You are currently reading La funcin de Seguridad Informtica en la empresa at Seguridad Informtica.

meta

Autor: seguinfo Comentarios: Dejar un comentario Categoras: administracin, empresas, politicas, seguridad fsica