Archivo del sitio
Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad
En ocasión de celebrarse el IV Congreso de Auditoría Interna en El Salvador, realice la preparación de un Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad. El objetivo es presentar a la comunidad de Auditores Internos un enfoque de Auditoría Interna a la revisión de la implementación de medidas de seguridad de la información, basadas en el Framework de Cyberseguridad de NIST (National Intitute of Standards and Technology). De este framework ya hemos hablado en el blog y los interesados en el tema pueden realizar una búsqueda y encontrar artículos sobre categorías específicas del framework, así como de la aplicación de normas en la Seguridad de la Información y de aspectos de Auditoría de Sistemas relacionados.
La presentación del Programa de Auditoría de la Seguridad de la Información enfocada en la Cyberseguridad ha sido el siguiente:
- Entender que es la Cyberseguridad. Este fenómeno del siglo XXI, que nos ataca de formas diferentes cada día y genera el riesgo de Cyberseguridad en las empresas.
- Discutir que riesgos de Cyberseguridad existen de manera genérica, para que cada persona pueda evaluar hacia su organización cuales son más relevantes en su contexto.
- Presentar el Framework de Cyberseguridad del NIST. Una iniciativa del Gobierno de los Estados Unidos, pero que ha tenido un impacto en la industria, especialmente en los proveedores y como se está compartiendo información sobre vulnerabilidades.
- Presentar el Programa de Auditoría de la Seguridad de la Información. Este es un programa basado en el programa de aseguramiento establecido por COBIT 5.
- Concluir sobre los aspectos relevantes que un Auditor Interno debe considerar respecto a la Seguridad de la Información. Estos son:
- Asegurar que existe un responsable de la Seguridad de la Información en la organización.
- Asegurar que existen los procesos, procedimientos y prácticas debidamente documentadas.
- Asegurar que existen las métricas que permitan opinar a un Auditor de Sistemas, sobre la eficiencia y eficacia de las medidas de control de la Cyberseguridad.
El programa puede ser descargado a través del siguiente link:
Seguridad de la Información Enfocada en Cyberseguridad
anexo1 Medidas de Seguridad Implementadas
Detección, una categoría importante para mejorar la seguridad
La detección de amenazas puede entenderse como el “santo grial” de la Seguridad de la Información. En general, afirmamos que la seguridad es buena cuando se previene un efecto negativo sobre nuestras operaciones. Si la función de seguridad se limita a pasar un informe de los ataques recibidos todas las acciones que se pueden realizar serán para reparar daños y volver a parámetros aceptables de confidencialidad, integridad o disponibilidad. Creo que por muchos años la Seguridad de la Información ha funcionado así, pero es el deseo de la industria que esto cambie a una postura más preventiva, que incluso genere capacidad de respuesta.
La categoría de Detección en el framework de Cyberseguridad refleja el énfasis que debe darse al desarrollo de actividades que proporcionen a una organización la capacidad de actuar antes de que daños mayores se materialicen. Debo recalcar que el framework especifica claramente “actividades”. Esto indica que el personal a cargo de la Seguridad de la Información debe tener una actitud activa respecto a los eventos de cyberseguridad. Esta categoría del framework en la actualidad está siendo soportada por la mayoría de herramientas de seguridad. Para poner un ejemplo, el software utilizado para realizar un análisis de vulnerabilidades, que tradicionalmente se ha desarrollado como una actividad puntual desarrollada cada cierto tiempo, 2 o 4 veces al año, ha migrado a un software que monitorea cambios en los equipos en tiempo real, a efectos de detectar si en cada cambio que se realiza a un equipo, o en cada nuevo descubrimiento de vulnerabilidades, se ha creado una brecha de seguridad que necesita ser mitigada. Por supuesto, la evolución proporcionada por el software pasaría a no tener relevancia, si no existe una persona que tenga la responsabilidad de entender la brecha detectada, evaluar el riesgo real para la organización, priorizarla respecto al universo de riesgos que se está atendiendo y proceder acorde con su evaluación.
Entre las herramientas que pueden soportar la categoría de detección, en los últimos años han tenido un desarrollo muy profundo, las que permiten realizar un análisis en tiempo real del comportamiento de los flujos de datos. Este tipo de herramientas necesitan implementarse de rigor si se quiere de verdad “detectar” amenazas, especialmente si el total de activos a monitorear es muy grande. Definitivamente es imposible para humanos, monitorear eventos de cyberseguridad sin contar con herramientas. Las herramientas necesarias podrían clasificarse en 3 tipos: las que actúan a nivel de la red de datos, las que actúan directamente sobre los activos y las que correlacionan eventos de diversos dispositivos. A nivel de la red de datos, podemos utilizar detectores de intrusos para monitorear el tráfico que viene de Internet, así como dispositivos que escuchan el tráfico de la red interna para identificar si en el medio están pasando tráfico que pueda contener amenazas. Entre las herramientas que actúan a nivel de los activos, están los buscadores de vulnerabilidades y software de protección de malware. Finalmente, los correlacionadores de eventos, o mejor conocidos como SIEM (Security Information and Event Management) permiten utilizar las bitácoras generados por diversos equipos, adicionando la característica de la correlación, ampliando la capacidad de detección de eventos que representen amenazas.
Esto nos indica que para lograr una implementación efectiva de la categoría de detección, se debe definir una organización responsable de la detección de amenazas, dotarla de herramientas idóneas para la detección de amenazas y gestionar la información proporcionada por las herramientas para mantener un universo actualizado de riesgos, priorizarlos y dar seguimiento al cumplimiento de las acciones de acuerdo con las prioridades. Bajo este mecanismo de funcionamiento se busca reducir las sorpresas, detectando eventos que puedan causar daños a la Seguridad de la Información, anulando o mitigando cualquier impacto negativo por las acciones de la amenaza.
Identificar, el primer paso en la Cyberseguridad
Hace unos días recalcaba la importancia del framework de Cyberseguridad de NIST en el contexto de los eventos de ataques a las infraestructuras de TI que están sucediendo. Vamos a iniciar un recorrido por las fases, comentando puntos que han probado ser hitos difíciles de superar en la gestión de la seguridad de la información.
La primera fase se refiere a la identificación de todo lo que tiene importancia para la gestión de la información. El lector debe de tener sumo cuidado en no confundir esta fase con la tradicional identificación de activos de información de otros frameworks. Aunque es necesario tener identificados los activos de información, esto es dispositivos que almacenan, transportan o procesan información, el framework también incluye en esa fase importantes categorías que se relacionan con la identificación de funciones crítica de la gestión de TI. Estas categorías son: el ambiente de negocios, el gobierno de la seguridad, la evaluación de riesgos y el análisis de riesgos operacionales. Estas categorías en la realidad tienden a ser ignoradas en las empresas, pero representan hitos fundamentales en el control de la seguridad de la información. Quizá la más relevante sea la evaluación de riesgos de seguridad porque es la que aporta información crucial para entender la importancia de la seguridad de la información para el negocio. Es también la más difícil de asimilar para el negocio. Mi mejor comentario aquí para los dueños de negocio es: si no quieren gastar de forma aleatoria en seguridad, participen en la evaluación de riesgos para dejarle claro a los responsables de la seguridad adónde es que están los riesgos que impactan en la organización. Es importante mencionar que el framework no es solamente técnico y cuando establece la categoría de evaluación de riesgos, en unos de sus componentes especifica directamente que “los impactos potenciales al negocio” sean identificados. Esta frase debe dejarnos clara la idea de que la implementación de la cyberseguridad debe realizarse de acuerdo con los lineamientos del negocio. Hay que recordar aquí que un riesgo es todo lo que podría pasar que tiene la probabilidad de impedir el lograr los objetivos de negocio.
Tener una idea de los riesgos ayudará también a definir el Gobierno de la Seguridad que es necesario para la empresa. Es importante que se identifiquen roles y responsabilidades a todos los niveles de tal forma que se obtenga la seguridad a partir de un conjunto ordenado de esfuerzos. En el área de gobierno, el establecimiento de políticas de seguridad que son continuamente monitoreadas para establecer su efectividad y necesidades de mejora es una tarea primaria.
En la categoría del ambiente de negocios, es importante considerar aquellos procesos de gestión de TI que están pensados para interactuar con el negocio. El establecimiento de niveles de acuerdo de servicios, la gestión de proveedores, la gestión de la capacidad y similares, que garanticen que la información estará disponible, se mantendrá integra y será confidencial cuando las necesidades del negocio así lo requieran.
Por último, la gestión del riesgo operacional es una necesidad eminente de la Gerencia de TI. Esto es identificar riesgos en las operaciones de TI y preparar acciones mitigantes o de reacción en caso de que se materialicen. Esta categoría es importante para no perder disponibilidad en caso de un evento contingencial. Por ejemplo, que pasaría si un empleado “critico” se enferma. Esto es un riesgo operacional. ¿Hemos preparado a alguien más para desempeñar sus funciones críticas? ¿Sabíamos que era crítico? ¿Tenemos documentación suficiente para responder al negocio aunque falte el empleado? Estas preguntas nos hacen entender que no sólo hay que identificar activos en esta fase, sino que es una fase para identificar todo lo que es importante para una gestión eficiente de la seguridad de la información, tomando como criterio primordial el impacto que se necesita evitar a las operaciones del negocio.
Controles para la Seguridad de la Información
Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.
La Gerencia de Sistemas debe poner la debida atención a entender y analizar los riesgos relacionados con la seguridad de la información y a establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados les impacten. Durante muchos años he sido testigo de muy buenas intenciones de muchos gerentes de sistemas para establecer los controles necesarios para brindar seguridad a la información de su organización, pero estas intenciones no son compartidas con los gerentes generales o gerentes financieros, que objetan iniciativas, por considerar que los gastos son excesivos. Los segundos a veces cambian de mentalidad cuando se ha sufrido un ataque que implicó pérdidas financieras, daños a la reputación o serios retrasos en las operaciones.
En todo caso, para tranquilidad de todos, los Gerentes de Sistemas tienen que realizar un análisis de riesgos de seguridad de la infraestructura y presentar a la organización el listado de posibles amenazas visualizadas, estableciendo su probabilidad de ocurrencia y el impacto que tendría cada una de ellas en las operaciones, a efectos de que sea claramente entendible por todos la ventaja o desventaja de establecer un control adicional, aunque esto requiera de alguna inversión. Esta práctica es efectiva para visualizar los riesgos, pero debe optimizarse a través de la identificación de controles que permitan, a un costo razonable, mitigar el riesgo.
Los riesgos, para ser entendidos, deben de ser expresados en función de la jerga del negocio. Por ejemplo, si se enuncia como una amenaza el que un virus tome control de un servidor y lo deje inoperante, nuestro riesgo real es que los negocios que se realizan con las aplicaciones existentes en ese servidor se vean interrumpidos porque el servidor fue atacado por un virus. Establecer el impacto en función de la amenaza de perder o retrasar el ingreso de efectivo si llevará al negocio a invertir en tener un sistema antivirus instalado en el servidor y en equipos clientes que tengan relación con el mismo. Si bien en este caso el control primario es el sistema antivirus, y este representa una inversión, se debe de ser muy analítico para decidir la conveniencia o no de implementar controles adicionales, que tal vez no incluyan inversión, pero que requieren del cuidado del personal. Pongamos un par de ejemplos. Si consideramos que para garantizar el éxito de un antivirus, este debe de estar actualizado, tanto en su software, como en las definiciones de virus, podemos entender que es necesario asegurar que la persona responsable del mantenimiento del software antivirus, realiza revisiones rutinarias que verifiquen que el software está funcionando y que resuelva cualquier problema que cause que la solución de antivirus no funcione de la mejor manera posible. Estas revisiones también constituyen un control. Los gerentes deben de exigir a los técnicos que realizan estas funciones que dejen evidencia del monitoreo realizado y de acciones correctivas que se han tomado. Un segundo control podría ser la restricción de utilizar dispositivos de memoria usb en equipos sensitivos. Aquí la decisión debe ser basada en el siguiente razonamiento “Si los puertos usb no son necesarios para mi negocio, los bloqueo”. Esto reduce la posibilidad de que un virus entre directamente al equipo por estos dispositivos. Este control nos llevaría a desactivar la capacidad de que los usuarios administren sus equipos y por lo tanto no puedan sobrepasar la configuración que desactive los puertos usb. También para esto es necesario tener un control del número de equipos existentes en la organización, para garantizar que en todos está debidamente configurada esta configuración.
Como el lector podrá deducir, la amenaza de un virus, estaría siendo mitigada con tres controles. Uno requiere inversión, pero los otros dos requieren de la definición de prácticas de trabajo que ayuden a confirmar la efectividad de la inversión realizada en el antivirus. No implementar estos controles adicionales podría ponernos en la situación en la que se ha invertido en un software de antivirus y aun así se materializa el riesgo.
Esto nos lleva a la conclusión de que los controles de seguridad no están basados totalmente en la inversión que realiza una organización, sino más bien en la aplicación constante de un análisis de los riesgos existentes y la adopción de medidas que mitiguen al máximo la posibilidad de ocurrencia.
La Administración Segura de los Recursos de TI
Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.
El Proceso de la Seguridad de la Información.
La cantidad de amenazas existentes para los sistemas de información es abundante. Por si la cantidad no fuera de por sí un factor de peso, la renovación de las amenazas se convierte en un verdadero problema para los Gerentes de TI, que tienen entre uno de sus objetivos, el mantener segura la información de la organización y evitar riesgos que dañen la imagen, interrumpan o retrasen el cumplimiento de los objetivos de negocio.
Muchas tareas se ponen en riesgo por amenazas a la seguridad de la información. Desde enviar correos, hasta la reinstalación de servidores por fallas causadas por virus y software malintencionado. El simple uso de Tecnologías de la Información, en todas sus formas, expone a una empresa a las amenazas relacionadas con la Seguridad de la Información. Pero si la empresa maneja información que pueda ser atractiva a un atacante, como información relacionada con tarjetas de crédito, información financiera, datos personales y similares, la principal amenaza es que esa información salga de la empresa sin autorización. Los esquemas de ataque en esta última forma son extensos y cambiantes. Incluso instituciones con grandes capacidades de investigación, tienen dificultades para detectar, detener y mucho más para procesar penalmente a un atacante que realice estas acciones.
Una empresa en El Salvador, aún con presupuestos y alcances limitados, está expuesta a estos ataques sí utiliza Tecnologías de la Información, tiene enlaces con el mundo y tiene información de clientes que debe protegerse. Es importante entonces, mantener un perfil activo de la seguridad de la información, no esperando sorpresas, sino más bien, analizando periódicamente las vulnerabilidades existentes, definiendo y ejecutando medidas de eliminación de riesgos y evaluando los resultados obtenidos. Este ciclo, muy conocido para los que trabajan pensando en la mejora continua, es una ruta simple de protección, que también permite aprovechar las inversiones realizadas en TI. Por ejemplo, la adquisición de un sistema de antivirus puede ser una inversión inefectiva, si una semana después de instalado el sistema, las definiciones de antivirus no han sido actualizadas, dejando expuesta la organización a los nuevos virus. Es típico, que una máquina “crítica” falle, por este fenómeno. Es fácil darse cuenta, que la inversión en el software de antivirus es sólo parte de la solución. Podría decirse que ese es el paso inicial. El proceso de verificación de su efectividad, su correcta aplicación y configuración es mucho más importante para lograr la mitigación de riesgos.
Todo el tema de la Seguridad de la Información debe tratarse de esa manera, como un proceso. No como una solución basada en la adquisición de nuevos dispositivos y software. Temas tan básicos en la Administración de la Seguridad, como el control de accesos a recursos tecnológicos puede salirse del adecuado control sin un proceso continuo de evaluación de su efectividad. Aunque la Auditoría de Sistemas ejerce un control sobre la efectividad de los controles, incluyendo los de seguridad, la Gestión de TI no debe de esperar a que una auditoría de TI le indique vacíos. La Seguridad de la Información es un tema “on line”, de tiempo real, que debe de ser incluido en las responsabilidades y tareas a ejecutar por los responsables de la mantener seguras las operaciones de TI y la información de la organización. A quién le corresponde la responsabilidad es un tema adicional a discutir, dado que no necesariamente tiene que ser la Gerencia de TI, pero lo importante es definir los procesos de Seguridad de la Información, a través de un plan que documente las vulnerabilidades existentes, los mecanismos de protección, la ejecución de los mismos y los controles para verificar la efectividad de los planes. Estos planes deberán de ser flexibles en el tiempo, readaptándose para las nuevas condiciones de amenazas y vulnerabilidades detectadas. Definitivamente, una administración de la Seguridad de la Información requieren de un proceso con mucha proactividad de parte de los responsables.
La Clasificación de la Información.
Muchos incidentes de seguridad de la información pasan porque no se tiene idea de lo sensitivo que la información es para la empresa. La Gestión de TI tiene que ser proactiva en definir niveles de sensibilidad de la información y clasificar toda la información que administra. Esta tarea, permite definir riesgos reales, como lo ve la Alta Dirección, a la vez que proporciona el valor real de la información y la justificación para las inversiones en tecnología.
La Gestión de TI debe tener claro en primer lugar que su razón de ser es el negocio. Todos los frameworks y metodologías de gestión de TI, hacen énfasis en que en primer lugar, los procesos de negocios tienen que ser evaluados, para identificar los requerimientos de TI del negocio. Inmediatamente después pasan a centrarse en el modelo de información que soportará las operaciones de negocio. Luego, un elemento importante del modelo de información, es la clasificación de la información. Esta tarea, consiste en identificar cada pieza de información que se administra en la empresa y discutir con el negocio el nivel de acceso, en términos de poder verla, poder modificarla o eliminarla y las áreas internas y externas de la organización que usarán este acceso. Cuando vemos en los organismos de inteligencia de las grandes naciones que utilizan términos como “secreto” o “top secret”, no asumimos ese nivel de confidencialidad en nuestra información, por no poner en riesgo ventajas estratégicas en términos de planes de competitividad entre naciones, que incluso algunas veces son de carácter bélico. Sin embargo, la Gestión de TI tiene que interiorizar que el término “confidencialidad” aplica a todas las organizaciones. Hay que considerar varios aspectos. La Gestión de TI debe estar clara que en el ámbito comercial, prácticamente se libra una guerra todo el tiempo, en la cual, se trata de ganar a nuestra competencia con los mejores precios, los mejores servicios, las mejores ventajas, etc. Por ejemplo, la planificación de una estrategia de mercado, que incluye publicidad, preparación del producto o servicio y toda una actividad de divulgación interna, para asegurarse de que todos los empleados entienden que se le ofrece al cliente, se puede arruinar, si es conocida previamente por la competencia. Esto se puede dar si alguna presentación de entrenamiento o de discusión de la estrategia es sacada del ámbito de la empresa y compartida con alguien externo, ya sea intencionalmente o no. Esto implica, que la Gestión de TI debe de considerar la información, no sólo las bases de datos. Esto es, identificar claramente la información a clasificar, en todas sus posibles formas de uso y crear instrucciones específicas hacia el personal de la organización sobre la clasificación de la información existente y que tiene que ser observada sobre la información en todas sus presentaciones. Algo que aporta mayor relevancia a esta actividad es cuando la empresa administra información de otros, por ejemplo, los clientes, cuya información no debería de ser divulgada por nosotros. Información sensitiva que podría existir en nuestras bases de datos incluye datos personales de identificación de clientes y datos de tarjetas de crédito, que incluso poseen normativa especial para su manipulación (PCI DSS – Payment Card Industry Data Security Standard), con el fin de asegurar que no existan brechas de seguridad que lleven a divulgar esta información. Hay que notar, que si existen estándares, la Gerencia de TI podría exhibir negligencia en no aplicarlos, si son pertinentes para la organización.
El Oficial de Seguridad de la Información.
De la misma manera en las empresas en El Salvador lograron entender la necesidad de un Administrador de Bases de Datos tendrán que entender la necesidad de un Oficial de Seguridad de la Información. Este término, denominado en Inglés CISO – Chief Information Security Officer, ha tomado relevancia, debido principalmente a la necesidad de que la información de la organización se mantenga segura y cumpla con sus objetivos de negocio. El primer paso es entender que en materia de seguridad de la información, no se puede ser juez y parte, por lo que no es saludable pensar que la Gestión de TI podrá realizar la tarea de planificar las operaciones de TI, organizarlas, ejecutarlas, monitorearlas y a la vez proporcionar seguridad a la información de manera integral. Entendamos bien esto. Todos los componentes de TI tienen algún nivel de seguridad de manera inherente. El tema de seguridad no puede ser extraído de la configuración de equipos y aplicaciones, por lo tanto, los responsables de TI deben de incluir las configuraciones de seguridad que sean necesarias de acuerdo con su criterio profesional y las necesidades de la organización. El rol del Oficial de Seguridad viene a garantizar de que la seguridad de la Información se esta abordando de una manera integral, acorde con el nivel de riesgo de la organización y siguiendo una arquitectura de aplicaciones e infraestructura robusta que es mantenible y actualizable de acuerdo a necesidades futuras. Asegura además que se han diseñado las políticas y procedimientos relacionados con la seguridad de la información además de verificar que los no relacionados no interfieren con los objetivos de seguridad de la información. Asegura además que se están implementando los proyectos correctos para eliminar vulnerabilidades en la infraestructura y aplicaciones. El Oficial de Seguridad incluso puede intervenir como visor independiente en los procesos de Gestión de TI, para ayudar a garantizar que elementos críticos de la Seguridad de la Información no serán comprometidos por causa de las operaciones normales de TI. Es decir, mientras el departamento de TI realiza su función de soportar el negocio a través de las Tecnologías de la Información, el Oficial de Seguridad mantiene el enfoque en la Seguridad de la Información. Incluso, en organizaciones grandes, tareas como la asignación de permisos y privilegios ha sido delegado al Oficial de Seguridad. Por supuesto, en estos casos estamos hablando de que el Oficial de Seguridad cuenta con personal bajo su cargo para poder realizar estas tareas cumpliendo con los Niveles de Servicio pactados con el negocio.
Es innegable que a todas las organizaciones les interesa la función de Seguridad de la Información. Lo discutible es ¿A qué nivel debe de cumplirse con esta función? Se necesita solo una persona a tiempo completo o un equipo de 5 o 10 personas. Incluso, puede pensarse en utilizar outsourcing para realizar la evaluación, diagnóstico, organización y monitoreo de la función de seguridad. Esta última modalidad ayuda a una organización a recolectar datos para evaluar más objetivamente la necesidad de formalizar una plaza o un departamento de seguridad de la información dentro de la organización.
Gestión y Auditoría de TI 