Archivo del sitio
Los Diferentes Ángulos de la Seguridad de la Información
Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.
El Oficial de Seguridad de la Información.
De la misma manera en las empresas en El Salvador lograron entender la necesidad de un Administrador de Bases de Datos tendrán que entender la necesidad de un Oficial de Seguridad de la Información. Este término, denominado en Inglés CISO – Chief Information Security Officer, ha tomado relevancia, debido principalmente a la necesidad de que la información de la organización se mantenga segura y cumpla con sus objetivos de negocio. El primer paso es entender que en materia de seguridad de la información, no se puede ser juez y parte, por lo que no es saludable pensar que la Gestión de TI podrá realizar la tarea de planificar las operaciones de TI, organizarlas, ejecutarlas, monitorearlas y a la vez proporcionar seguridad a la información de manera integral. Entendamos bien esto. Todos los componentes de TI tienen algún nivel de seguridad de manera inherente. El tema de seguridad no puede ser extraído de la configuración de equipos y aplicaciones, por lo tanto, los responsables de TI deben de incluir las configuraciones de seguridad que sean necesarias de acuerdo con su criterio profesional y las necesidades de la organización. El rol del Oficial de Seguridad viene a garantizar de que la seguridad de la Información se esta abordando de una manera integral, acorde con el nivel de riesgo de la organización y siguiendo una arquitectura de aplicaciones e infraestructura robusta que es mantenible y actualizable de acuerdo a necesidades futuras. Asegura además que se han diseñado las políticas y procedimientos relacionados con la seguridad de la información además de verificar que los no relacionados no interfieren con los objetivos de seguridad de la información. Asegura además que se están implementando los proyectos correctos para eliminar vulnerabilidades en la infraestructura y aplicaciones. El Oficial de Seguridad incluso puede intervenir como visor independiente en los procesos de Gestión de TI, para ayudar a garantizar que elementos críticos de la Seguridad de la Información no serán comprometidos por causa de las operaciones normales de TI. Es decir, mientras el departamento de TI realiza su función de soportar el negocio a través de las Tecnologías de la Información, el Oficial de Seguridad mantiene el enfoque en la Seguridad de la Información. Incluso, en organizaciones grandes, tareas como la asignación de permisos y privilegios ha sido delegado al Oficial de Seguridad. Por supuesto, en estos casos estamos hablando de que el Oficial de Seguridad cuenta con personal bajo su cargo para poder realizar estas tareas cumpliendo con los Niveles de Servicio pactados con el negocio.
Es innegable que a todas las organizaciones les interesa la función de Seguridad de la Información. Lo discutible es ¿A qué nivel debe de cumplirse con esta función? Se necesita solo una persona a tiempo completo o un equipo de 5 o 10 personas. Incluso, puede pensarse en utilizar outsourcing para realizar la evaluación, diagnóstico, organización y monitoreo de la función de seguridad. Esta última modalidad ayuda a una organización a recolectar datos para evaluar más objetivamente la necesidad de formalizar una plaza o un departamento de seguridad de la información dentro de la organización.
Los nuevos cargos responsables de las Tecnologías de la Información
De acuerdo al nivel de operaciones de la empresa, sus riesgos tecnológicos y su nivel de dependencia de la tecnología han surgido nuevas posiciones, para lograr segregación de funciones y una cobertura razonable de las responsabilidades de brindar beneficios al negocio y evitar riesgos por uso de las tecnologías. Hace muchos años el único cargo pensable era el Gerente de Sistemas o Informática. Impensable pensar en Gerente de Tecnologías de la Información, porque el uso de computadoras estaba supeditado a un centro de datos y las comunicaciones no eran tan importantes como hoy en día. En la medida que las Tecnologías de la Información crecieron para brindar más servicios al negocio, al grado de ser parte vital de la entrega de servicios o fabricación o venta del producto, el cargo de Gerente de Sistemas ascendió en el organigrama, trascendiendo del soporte, mayormente considerado parte del aparataje administrativo, hacia un elemento vital en el funcionamiento de la organización. Esto ha dado lugar a que en muchas empresas ya se utilicen cargos como Gerente de Tecnologías de la Información o Gerente de Tecnologías y Operaciones. Más aún, estos cargos, en las empresas que han iniciado emprendimientos de Gobierno Empresarial, están ubicados también a nivel de Vice-presidencia y tienen un lugar en juntas directivas. Me recuerdo que en Japón, hace dos años, ya se discutía si se seguirían nombrando CEOs, Chief Executive Officer, dado que sus contrapartes, los CIO, Chief Information Officer, estaban tomando control sobre las operaciones de los negocios en la medida de que las Tecnologías de la Información pasaron a ser la principal materia prima para entregar servicios y crear productos. Pero esto sólo nos indica que el nivel de envolvimiento del responsable de Tecnologías de la Información, por lo general subió de nivel en la jerarquía de los organigramas. Otros desarrollos se han generado a partir de la dependencia que las organizaciones tienen de las TI. La más notable es la que se refiere a seguridad. En organizaciones en las que la seguridad se considera un factor importante a cuidar para no perder o disminuir el ingreso, se han nombrado Oficiales de Seguridad (CISO – Chief Information Security Officer). Estos cargos no dependen de TI, si no más bien reportan a Junta Directiva o el CEO o Gerente General, con el objetivo de tener una función independiente, asesora y de supervisión sobre la creación de medidas de seguridad, así como la verificación de su cumplimiento y evaluación constante de los resultados. En general, es conveniente que las funciones de seguridad de la información no sean asumidas por el mismo personal de TI. De esta manera, se logra aseguramiento de una sana segregación de funciones respecto a la Seguridad de la Información.
Una tercer función, más sutil y refinada, es la del Oficial de Riesgos Tecnológicos. Esta función va más allá de los elementos de seguridad y evalúa factores que puedan llevar a cese de operaciones por causas atribuibles a las TI, creando un sistema de monitoreo que permita detectar, prevenir y administrar los riesgos tecnológicos a los que una empresa esta expuesta. Por supuesto, la creación de estos cargos dependerá de la decisión que tengan las máximas autoridades sobre el uso de las Tecnologías de la Información. En algunos países la decisión ha sido apoyada por regulaciones, pero mientras estas no existan, la decisión seguirá siendo de la Alta Dirección. Es recomendable ser visionario en este tipo de decisión, para no tomar decisiones en base a experiencias negativas pasadas, sino de una manera proactiva. Como el costo de crear un cargo adicional es a veces la principal determinante para no tomar la decisión, hay que recordar que estas funciones se pueden realizar también por servicios de outsourcing, lo que les permitirá realizar una inversión adecuada para iniciar funciones de seguridad y riesgo tecnológico sin perder la rentabilidad de las operaciones. Probablemente, al empezar a recibir datos de un consultor dedicado a evaluar, recomendar y proveer monitoreo periódico de las operaciones, la Alta Dirección llegará a tener la información suficiente para optar por un nombramiento de los cargos de manera permanente en la organización. Lo importante es empezar a hacer algo.
Gestión y Auditoría de TI 