La función de Seguridad Informática en la empresa
Dexys yasmina Padrón Garcia
Este siempre ha sido un tema complicado porque cada organización es
distinta y no hay un acuerdo sobre la mejor manera de organizar un área
de seguridad informática en una empresa.
Por lo tanto lo que les expongo aquí no es una mejor práctica,
simplemente se trata de algunas sugerencias basadas en mi experiencia.
Componentes principales de un área de seguridad informática
Existen diversas funciones que debe desempeñar un área de seguridad
informática y éstas se pueden agrupar de la siguiente manera:
Hay un par de áreas que no son tan comunes y que están en color gris en el diagrama: normatividad y desarrollo. Al revisar las responsabilidades y funciones de cada área quedará más claro el por qué. Por lo pronto les comento que es menos probable encontrar estas 2 áreas en empresas medianas o pequeñas, mientras que en empresas grandes es más común que existan las 4 áreas junto con la figura del líder de área.
Líder de área Esta figura, a la cual se le suele conocer como CISO (Chief Information Security Officer – Oficial de Seguridad informática). Entre sus responsabilidades se encuentran:
* Administración del presupuesto de seguridad informática
* Administración del personal
* Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
* Administración de proyectos
* Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución
El líder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa.
Normatividad
Es el área responsable de la documentación de políticas,
procedimientos y estándares de seguridad así como del cumplimiento con
estándares internacionales y regulaciones que apliquen a la
organización. Dado que debe interactuar de forma directa con otras áreas
de seguridad y garantizar cumplimiento, es conveniente que no quede al
mismo nivel que el resto de las áreas pero todas reportan al CISO. Por
esta razón se le suele ver como un área que asiste al CISO en las
labores de cumplimiento.
Operaciones Es el área a cargo de llevar a cabo las acciones
congruentes con la estrategia definida por el CISO lograr los objetivos
del área (en otras palabras, la “gente que está en la trinchera”). Entre
sus responsabilidades se encuentran:
* Implementación, configuración y operación de los controles de seguridad informática (Firewalls, IPS/IDS, antimalware, etc.)* Monitoreo de indicadores de controles de seguridad
* Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los controles de seguridad que operan)
* Soporte a usuarios
* Alta, baja y modificación de accesos a sistemas y aplicaciones
* Gestión de parches de seguridad informática (pruebas e instalación)
Supervisión Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del área de normatividad). Entre sus responsabilidades se encuentran:
* Evaluaciones de efectividad de controles
* Evaluaciones de cumplimiento con normas de seguridad
* Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes)
* Atención de auditores y consultores de seguridad
Noten que las actividades de monitoreo las realiza el área de
operaciones y no el área de supervisión. Esto es porque el monitoreo se
refiere a la vigilancia del estado de la seguridad de la empresa a
través de los controles, pero las actividades del área de supervisión se
limitan a la vigilancia de las actividades de seguridad que realizan
otras áreas. La única excepción es la investigación de incidentes.
Operaciones no investiga porque en algunos casos podrían se juez y
parte. Por ejemplo, en el caso de una intrusión no es válido que el
mismo personal que operaba los controles que protegían el servidor
investiguen el suceso porque no puede haber objetividad (aunque no sea
el propósito de la investigación, de cierta manera los resultados de la
misma podrían calificar indirectamente la efectividad del personal del
área de operaciones). La razón por la cual es preferible que esta área
sea el punto de contacto con auditores y consultores es porque sus
labores son afines y es más probable que tengan a la mano la información
que requieran o sepan quién la tiene.
DesarrolloEs el área responsable del diseño, desarrollo y adecuación de controles de seguridad informática (típicamente controles de software). Entre sus responsabilidades se encuentran:
* Diseño y programación de controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
* Preparación de librerías con funciones de seguridad para su uso por parte del área de Desarrollo de Sistemas
* Soporte de seguridad para el área de Desarrollo de Sistemas
* Consultoría de desarrollos seguros (integración de seguridad en aplicaciones desarrolladas por Sistemas).
Básicamente se trata de un área de desarrollo enfocada a cuestiones
de seguridad. La razón de requerir un área dedicada para esto es que la
integración de controles efectivos en software es una tarea muy
compleja; el perfil de un programador promedio no incluye experiencia ni
conocimientos en seguridad (y particularmente en criptografía). Esta es
la razón por la cual sólo las grandes empresas cuentan con un área de
desarrollo de seguridad que está formada por especialistas en vez de
programadores ordinarios.
¿Dónde debe estar la función de Seguridad Informática? Este es otro
problema para el cual no hay una respuesta única. Podemos empezar por
listar las áreas o direcciones de las cuales no debe de depender el área
de Seguridad Informática:
* Sistemas – Mucho de lo que vigila el área de operaciones de
seguridad son precisamente los sistemas y las redes de telecomunicación.
El área de sistemas tiene como prioridad la operación, y los controles
tienden a impactar de cierta forma el desempeño y flujo operativo (pero
no por esto dejan de ser necesarios). El hecho de que Seguridad
Informática dependa del Área o Dirección de Sistemas genera conflictos
de interés.* Auditoría Interna – La función de auditoría es verificar la efectividad y existencia de controles en todas las áreas de la organización (incluyendo Seguridad). Auditoría no opera, pero el área de Operaciones de Seguridad sí, por lo que habría conflictos de interés (Auditoría revisaría en parte algo que ella misma hace, lo que la convertiría en juez y parte)
* Unidades operativas del negocio – por la misma razón que para el área de Sistemas
Por supuesto hay algunas áreas que no hace mucho sentido que incluyan la función de Seguridad Informática (Recursos Materiales y Recursos Humanos, por ejemplo), pero hay áreas donde sí puede colocarse esta función, como por ejemplo:
* Cumplimiento – Cumplimiento no es Auditoría. El área de Cumplimiento define establece las normas internas y supervisa su aplicación de la misma manera que las áreas de Normatividad y Supervisión lo hacen dentro de la función de Seguridad Informática.
* Jurídico – Esta área atiende todos los asuntos legales de la empresa. Como tal el tener al área de Seguridad dentro de la misma constituye un excelente apoyo para implementar controles que garanticen el cumplimiento de la ley.
* Finanzas – Esta área se asegura del buen uso del dinero de la empresa. Contar con un área de Seguridad Informática le permite asegurar la implementación adecuada de controles para minimizar riesgos que tengan impacto económico (fraudes, fugas de información, etc.). Dada la dependencia de los sistemas informáticos para el manejo de las finanzas en la actualidad este esquema es una buena opción para algunas empresas.
* Riesgos – El área de Seguridad Informática dependiendo del área de riesgos permite controlar y evaluar la mitigación de aquellos riesgos que afectan a los sistemas informáticos y la información que se almacena, procesa, genera o transmite a través de los mismos. Dada la dependencia que tienen muchos procesos productivos de los sistemas de información en la actualidad, ésta es una buena opción también para muchas empresas.
* Dirección General – Permite tener un estricto control de los recursos informáticos de la Empresa. Desafortunadamente este esquema es difícil por la diferencia de lenguajes y niveles entre ambas áreas así como las prioridades y el poco tiempo que suele tener la Dirección General, pero algunas organizaciones así lo tienen (por ejemplo, algunos Bancos).
Podría parecer que la existencia de las áreas de Operaciones y
Desarrollo de Seguridad generan un conflicto de interés en los casos
anteriores, pero no es así, ya que el conflicto está controlado por la
separación interna de funciones dentro de la misma Área de Seguridad;
con respecto al resto de las áreas, no se interfiere con su operación y
existe separación de funciones, ya que el área de Operaciones de
Seguridad realiza únicamente funciones de soporte al negocio y no
interviene de forma directa en dichos procesos. Adicionalmente, la
existencia de un área de Auditoría Interna separada permite una revisión
imparcial de las funciones de Seguridad que dependa de cualquiera de
las 3 áreas mostradas anteriormente. En ninguno de los casos anteriores
la implementación y supervisión de controles de seguridad informática es
un factor tan importante debido a su orientación a controlar; a
diferencia del caso de Sistemas, donde su orientación es a producción.
De todas maneras, no hay un área ideal de dónde colgar al área de
Seguridad Informática (si la hubiera, todo mundo lo haría así) quizás la
dependencia directa de la Dirección General pero no es viable o fácil
de lograrla en muchas empresas.
¿Función Centralizada o Distribuida?
Nuevamente, una pregunta que ha dado origen a interminables
discusiones filosóficas sin ningún consenso, pero aquí trataré al menos
de definir ventajas y desventajas de ambos esquemas así como algunas
estrategias de distribución que han funcionado en algunas
organizaciones.
Función centralizada
La función centralizada permite un mejor control y desempeño de las
funciones de seguridad informática, sin embargo, este esquema también
suele generar algunos roces con otras áreas de la empresa,
particularmente con el área de Sistemas.
En mi opinión esta es una mejor opción para áreas donde el control
sea esencial (incluso requerido por regulación) y se pueda sacrificar
algo de desempeño en producción a costa de una mejor vigilancia. Algunos
sectores que donde este esquema puede ser benéfico son: Financiero,
Farmacéutico, Salud, Gobierno, Organismos Militares y Organismos
Policiales.
Existe también la opinión de muchos especialistas de no sólo mantener
una función central de Seguridad informática, sino incluso fusionarla
con el área de Seguridad Física. Mi opinión al respecto es que debe
existir integración entre ambas funciones de seguridad, pero en mi
experiencia la dependencia de una de la otra no genera siempre buenos
resultados. Lo ideal en mi opinión es integrar ambas bajo un mismo
líder, el famoso CSO (Chief Security Officer).
El único cambio que yo vería en la integración de ambas funciones es
el pasar la responsabilidad de implementación de los controles de
seguridad física al área de Seguridad Informática (lo mismo con el
desarrollo de controles si es el caso). Esto debido a que hoy en día, la
mayoría de los controles de seguridad física se basan en sistemas
informáticos (control de acceso, CCTV, alarmas de intrusión, etc.) y es
más eficiente realizar estas funciones a través de gente con
conocimientos y experiencia en sistemas.
En este caso, el área de Seguridad (física e informática) podría distribuirse de la siguiente manera:
Función Distribuida
Para algunas organizaciones hace más sentido distribuir la función de
la seguridad ya que esto permite tener un mejor desempeño operativo a
costa de menor control y desempeño en la seguridad informática. Algunos
ejemplos de sectores de empresas donde esto suele suceder son:
Manufactura, Servicios, Consultoría, Telecomunicaciones y Comercial.
En este esquema podemos pasar algunas funciones a áreas que
normalmente no deberían contar con toda la función de seguridad
informática. Por ejemplo, podríamos pasar las áreas de Operaciones de
Seguridad y Desarrollo de Seguridad al área de Sistemas, integrándolas
en las funciones correspondientes, siempre y cuando exista un líder de
Seguridad Informática separado y que la función de Supervisión también
se encuentre separada. El área de Normatividad de Seguridad podría
recaer en el área de Cumplimiento y el área de Supervisión de Seguridad
podría pasarse al área de Auditoría Interna (igualmente, sólo si las
áreas de Operaciones de Seguridad y Desarrollo de Seguridad están en
otro lado). Finalmente el CISO puede depender de alguna de las áreas
antes mencionadas.
Un ejemplo de una función de Seguridad totalmente distribuida sería el siguiente:
Mi esquema preferido es un esquema parcialmente distribuido, donde el área de Seguridad Informática Depende directamente de la Dirección General y cuenta con áreas de Supervisión y Normatividad, mientras que las áreas de Operaciones de Seguridad y Desarrollo de Seguridad dependen del área de Sistemas.
Una de las razones principales por las que prefiero que estas 2 áreas dependan de Sistemas es por la burocracia que se genera al tenerlas dentro de un área de Seguridad centralizada. Por ejemplo, si un área operativa requiere que se abra un puerto en un firewall para instalar un nuevo sistema que urge (ya saben que en las empresas todo urge) es más rápido que el equipo de Operaciones de Seguridad en el área de sistemas se ponga de acuerdo con el equipo de Telecomunicaciones y aplique el cambio después de una breve revisión de impacto. Si hubiera algún conflicto de interés (ej. que se encontrara algún riesgo pero que el Director de Sistemas ordenara el cambio de todas maneras), eventualmente el área de Seguridad (a través del Equipo de Supervisión de Seguridad) se daría cuenta y tomaría acciones (de forma directa o a través de otra área). Igualmente, para resolver algún problema de Seguridad sencillo (por ejemplo una infección por Virus) es más fácil y rápido si el área de Operación de Seguridad está dentro de sistemas porque en estos casos esta área requiere del apoyo de personal de Sistemas (administradores por ejemplo); en el peor de los casos un Director de Sistemas podría pedir que se retrase la solución para dedicar a su gente a resolver otros problemas que considera más urgentes.
Si bien este tipo de conflictos se llegan a presentar, de acuerdo a mi experiencia son menos frecuentes de lo que mucha gente piensa (en la actualidad, la mayoría de los Directores de Sistemas y el personal de esta área se han sensibilizado ante los problemas de seguridad informática) y el beneficio en términos de tiempos de respuesta y menor roce con el área de Seguridad bien valen la pena. Pero ésta es sólo mi opinión.
Fuente: http://candadodigital.blogspot.com/2007/10/la-funcin-de-seguridad-informtica-en-la.html
Tengo una empresa de centro de datos por si necesitas ayuda.
ResponderEliminar