CSSITI2012 - Unidad 2: Gobierno de la Seguridad de SI/TI

Captulo 3: Introduccin a la Seguridad de SI/TI

Versin 04, actualizada al 13/04/2012. Ing. Horacio Antonelli Matterson, CIA, CISA.

En el ambiente de negocios global e interconectado de hoy, la importancia de la informacin es ampliamente aceptada y los SI/TI son realmente dominantes, ya sea en organizaciones gubernamentales como de negocios. La creciente dependencia de la mayora de las organizaciones de sus SI/TI, unido a los riesgos, amenazas, beneficios y oportunidades que stos conllevan, han hecho del Gobierno de SI/TI - y de todos los aspectos relacionados con el mismo - facetas cada vez ms crticas del Gobierno de la Organizacin en su conjunto.

Las Juntas (tambin llamadas Juntas Directivas), al igual que la Gerencia, necesitan asegurarse que los SI/TI estn alineados con la estrategia organizacional y que esta estrategia tome la conveniente ventaja de las oportunidades que ofrecen los SI/TI. Una de las facetas ms importantes del Gobierno de SI/TI es el Gobierno de la Seguridad de SI/TI.

El Gobierno de la Seguridad de SI/TI es un programa de actividades que garantiza que a los activos informticos se les ha dado un nivel de proteccin proporcional a su valor o al riesgo que su compromiso posee para la organizacin. Por lo tanto, es esencial que la Gerencia Ejecutiva garantice que la definicin de roles y responsabilidades a travs de toda la organizacin incluya estas actividades.

La administracin efectiva de la Seguridad de SI/TI es, en un grado cada vez mayor, un tema de negocios y un requisito legal, no slo un asunto tecnolgico. La poltica y las pautas bsicas de Seguridad de SI/TI deben ser desarrolladas e implementadas basndose en los recursos de SI/TI identificados y priorizados que necesitan proteccin. Las pautas bsicas de Seguridad de SI/TI representan la mnima seguridad aceptable implementada para proteger los recursos de SI/TI. Estas pautas bsicas son normalmente establecidas usando estndares generalmente aceptados en la industria, tales como la norma ISO17799, requisitos legales y reglamentarios y decisiones del negocio sobre qu nivel de riesgo la organizacin est dispuesta a aceptar.

La Seguridad de SI/TI se relaciona con la proteccin de activos informticos valiosos contra la prdida, la discontinuidad operacional, el abuso, la revelacin no autorizada, la imposibilidad de acceso o el dao. En este contexto, el activo valioso es la informacin grabada, procesada, almacenada, compartida, transmitida o recuperada de un medio electrnico.

La informacin debe ser protegida contra daos provenientes de amenazas que podran impactar en el negocio, ocasionando prdidas, imposibilidad de acceso, alteracin, exposicin ilegal o acceso no autorizado. Las amenazas incluyen errores y omisiones, fraude, accidentes y dao intencional. La proteccin de los activos de SI/TI se garantiza a travs de una serie de medidas de prevencin, tecnolgicas y no-tecnolgicas, dispuestas en capas, tales como medidas de seguridad fsica y ambiental, medidas de empleo y seguridad del personal, o medidas de administracin de identidad y autenticacin (Ej.: identificadores de usuario, contraseas, tarjetas inteligentes [smart cards] y biomtricas), el despliegue de sistemas de deteccin y prevencin de intrusos y el desarrollo e integracin de procedimientos de apoyo manuales y automatizados. Estas medidas preventivas son necesarias y deberan tratar las amenazas y vulnerabilidades de manera balanceada.

En un ambiente tecnolgico tan dinmico como el actual, lo que hoy puede ser considerado como ltimo de la tecnologa de Seguridad de SI/TI, maana puede resultar obsoleto. La Seguridad de SI/TI debe acompaar el ritmo de estos cambios.

Para ser efectiva, la Seguridad de SI/TI debe ocuparse de los procesos completos, de extremo a extremo, tanto fsicos como tcnicos. Sera de poco beneficio para la organizacin que un SI/TI seguro fuera utilizado para procesar rdenes fraudulentas. Para asegurar que todos los elementos de Seguridad de SI/TI relevantes estn alineados con una estrategia de Seguridad Organizacional, las 10 reas de la norma ISO17799 pueden proveer un marco til para medir su alcance. De manera similar, las polticas y estndares deben ser creados de forma tal que puedan encaminarse directamente a cada elemento del estndar.

Las 10 divisiones principales de la norma ISO17799 son: 1. Poltica de seguridad 2. Organizacin de la seguridad 3. Clasificacin y control de activos 4. Seguridad del personal 5. Seguridad fsica y ambiental 6. Gestin de comunicaciones y operaciones 7. Control de accesos 8. Desarrollo y mantenimiento de sistemas 9. Administracin de la continuidad de los negocios 10. Cumplimiento de requisitos legales

Cada una de ellas est dividida, a su vez, en subdivisiones que deben estar en su totalidad dirigidas a una amplia arquitectura y estrategia de Seguridad de SI/TI.

Otra gua til, desde una perspectiva diferente, que puede ser utilizada para asegurar que la estrategia de Seguridad de SI/TI y los estndares y polticas acompaantes sean consistentes y amplios, es la GAISP - Principios de Seguridad de la Informacin Generalmente Aceptados [Generally Accepted Information Security Principles], la cual provee una articulacin clara de las caractersticas de seguridad, aseguramientos y prcticas esenciales. Algunos ejemplos de principios definidos en GAISP son: Principio de respondabilidad La respondabilidad al igual que la responsabilidad - de la Seguridad de la Informacin deben estar claramente definidas y ser conocidas. Principio de conciencia Todas las partes, incluyendo a los propietarios de la informacin, aunque sin limitarse slo a ellos y a aqullos que ejercen la Seguridad de la Informacin y que poseen la necesidad de conocer, deberan tener acceso a principios, estndares, convenciones o mecanismos aplicados o disponibles para la Seguridad de la Informacin y de los SI/TI, y deberan estar informados acerca de las amenazas aplicables a la Seguridad de la Informacin. Principio tico La informacin debera ser usada, y la administracin de la Seguridad de la Informacin debera ser llevada a cabo de manera tica. Principio multidisciplinario Los principios, estndares, convenciones y mecanismos para la Seguridad de la Informacin y para los SI/TI deberan contemplar las consideraciones y puntos de vista de todas las partes interesadas. Principio de proporcionalidad Los controles de Seguridad de la Informacin deberan ser proporcionales a los riesgos de modificacin, denegacin de uso o divulgacin de la informacin. Principio de valoracin Los riesgos a la informacin y a los Sistemas de Informacin deben ser revisados peridicamente. Los acontecimientos que pueden provocar la necesidad de una revisin de la Seguridad de la Informacin pueden ser: - Un cambio significativo en el Sistema de Informacin - Un cambio significativo en la informacin o sus valores - Un cambio significativo en la tecnologa - Un cambio significativo en las amenazas o vulnerabilidades - Un cambio significativo en las medidas de prevencin disponibles - Un cambio significativo en los perfiles de usuario - Un cambio significativo en la prdida potencial del sistema - Un cambio significativo en la organizacin/empresa - Un lapso de tiempo predeterminado desde la ltima revisin Principio de integracin - Los principios, estndares, convenciones y mecanismos para la Seguridad de la Informacin deberan estar coordinados e integrados entre s y, adems, tanto con las polticas de la organizacin como con sus procedimientos, para crear y mantener la Seguridad de la Informacin a travs de todo un Sistema de Informacin.

 Principio de oportunidad Todas las partes involucradas deberan actuar de manera oportuna y coordinada para prevenir o responder a las brechas y amenazas a la Seguridad de la Informacin y de los Sistemas de Informacin. Principio de equidad - La Seguridad de la Informacin debe reflejar imparcialidad respecto de las necesidades, derechos y obligaciones de todas las partes afectadas por o responsables de la informacin. Los negocios en el contexto de la aldea global son altamente dinmicos y presentan demandas extremas a los Sistemas de Informacin; por consiguiente, es imperativo que la estrategia de Seguridad de la Informacin de una organizacin sea dinmica para corresponder a las demandas del negocio. Debe ser considerada una parte integral del proceso del ciclo de vida del desarrollo de los Sistemas de Informacin y estar explcitamente considerada durante cada fase de dicho proceso. La Seguridad de la Informacin debe ser abordada de una manera proactiva y oportuna para ser efectiva.

El objetivo de la Seguridad de la Informacin es proteger los intereses de aquellos que confan en la informacin y en los sistemas y comunicaciones que distribuyen informacin, del dao provocado por fallas en la disponibilidad, confidencialidad, integridad, autenticidad y no repudio.

Mientras las definiciones emergentes estn incorporando conceptos tales como la utilidad y posesin de la informacin - lo ms reciente para hacer frente al robo, al engao y al fraude - la economa de red indudablemente ha sumado la necesidad de confianza y respondabilidad en las transacciones electrnicas. Para la mayora de las organizaciones, el objetivo de la Seguridad de la Informacin se cumple cuando:

La informacin est disponible y utilizable cuando es requerida y los sistemas que la provean pueden resistir ataques apropiadamente e instantneamente recuperarse o prevenir fallas (disponibilidad) La informacin slo es observada por o revelada a aqullos que tienen el derecho a saber (confidencialidad) La informacin es completa, precisa y est protegida contra una modificacin accidental o no autorizada (integridad) Las transacciones de negocios e intercambios de informacin entre entidades deben ser confiables (autenticidad y no repudio)

El significado y prioridad relativa de disponibilidad, confidencialidad, integridad, autenticidad y no repudio varan de acuerdo con los datos dentro del Sistema de Informacin y el contexto comercial en el cual son usados. Por ejemplo, la integridad puede considerarse especialmente importante para la informacin gerencial debido al impacto que la informacin tiene sobre las decisiones crticas, relacionadas con la estrategia.

Es importante comprender que estos conceptos se aplican por igual tanto a los sistemas electrnicos como a los operacionales o a los comerciales. La confidencialidad, por ejemplo, est tan en riesgo por la utilizacin de la ingeniera social o buceo en la basura [dumpster diving] como por un ataque externo exitoso. La integridad de la informacin puede verse fcilmente comprometida ya sea por ingresos fsicos forzados al sistema como por un compromiso electrnico.

Tambin personas detectar ocuparse

debe considerarse que la mayor parte de las prdidas significativas son ocasionadas por de confianza y no por ataques externos. El resultado es que los controles usados para anomalas y asegurar la integridad de los Sistemas de Informacin tambin deben de los ataques no tcnicos de personas de confianza.

De acuerdo con la Declaracin 1: "Manejo de la Seguridad de la Informacin" de las Guas Internacionales para la Administracin del Riesgo de la Informacin y las Comunicaciones, [Intemational Guidelines for Managing Risk of Information and Communications Statement 1, "Managing Security of Information"], publicada por la Federacin Internacional de Contadores [International Federation of Accountants], las seis principales actividades involucradas en la proteccin de la informacin son: 1. Desarrollo de una poltica - Utilizar el Objetivo de Seguridad y los principios fundamentales como marco de trabajo para el desarrollo de una poltica de Seguridad de SI/TI 2. Roles y responsabilidades - Asegurar que los roles individuales, las responsabilidades y la autoridad sean claramente comunicados y comprendidos por todos 3. Diseo - Desarrollar un marco de seguridad y control que incluya estndares, medidas, prcticas y procedimientos 4. Implementacin - Implementar la solucin oportunamente y luego mantenerla. 5. Monitorear - Establecer medidas de monitoreo para detectar y asegurar la correccin de brechas de Seguridad de SI/TI, de forma tal que tanto las brechas reales como las sospechosas sean puntualmente identificadas e investigadas y, adems, que se hayan tomado acciones sobre las mismas; asegurar el cumplimiento continuo de las polticas, los estndares y las prcticas de Seguridad de SI/TI mnimas aceptables. 6. Concientizacin, entrenamiento y educacin - Crear conciencia de la necesidad de proteger la informacin, brindar entrenamiento en las habilidades necesarias para operar Sistemas de Informacin en forma segura y ofrecer educacin sobre prcticas y medidas de Seguridad de SI/TI.

En la elaboracin de la estrategia de Seguridad de SI/TI, debe tomarse en cuenta que los marcos y principios existentes no son idnticos pero cubren esencialmente el mismo territorio desde perspectivas diferentes. Estas propuestas se ofrecen como gua y no como el nico medio para cumplir con el objetivo de una Seguridad de SI/TI adecuada en toda la empresa. Ya quedaron en el pasado los das de publicar una poltica de Seguridad de SI/TI, educar a los usuarios y luego pretender que todos la respeten.

La velocidad con que emergen los riesgos y la tasa de cambios demandan estrategias diferentes y continuas; requieren una revisin y monitoreo continuo de los procesos, prcticas, infraestructura y ambiente para las vulnerabilidades, y la provisin de la respuesta requerida en trminos de brindar soluciones de Seguridad de SI/TI apropiadas a travs de la funcin de administracin de la Seguridad de SI/TI, mejores defensas, controles efectivos, y polticas y estndares adecuados, tal como lo ilustra la FIGURA 1.1.

FIGURA 1.1 Gobierno de la Seguridad en la TI

Referencias en espaol de la FIGURA 1.1: 1. Publicar la Poltica de Seguridad 2. Disear Defensas de Seguridad 3. Realizar Monitoreo Activo 4. Realizar Prueba de Intrusin 5. Administracin de la Seguridad

Tambin requiere un programa continuo de concientizacin y entrenamiento en Seguridad de SI/TI. En la mayora de las organizaciones, las evidencias indican que la mayora del personal no toma en cuenta las polticas y estndares de Seguridad de SI/TI, ni siquiera cuando stas existen. An hoy, muchas organizaciones no tienen polticas formales de Seguridad de SI/TI y mucho menos una estrategia de Seguridad de SI/TI.

Sin embargo, las reglamentaciones cada vez ms restrictivas para la mayora de las organizaciones probablemente mejoren la situacin en los prximos aos. Entre las ms significativas de estas reglamentaciones se encuentran las impuestas por el Consejo Norteamericano de Confiabilidad del Suministro Elctrico / Comisin Federal Reguladora de Energa (NERC/FERC) para servicios pblicos, as como por la ley Sarbanes-Oxley para empresas pblicas, la Ley Federal Estadounidense Gramm-Leach Bliley (GLB) para instituciones financieras, la Ley Federal de Administracin de la Seguridad de la Informacin de 2002 (FISMA) para dependencias del gobierno estadounidenses, la Ley de Portabilidad y Responsabilidad de Seguro Mdico de 1996 (HIPAA) para organizaciones de asistencia mdica en Estados Unidos de Amrica el USA, y la implementacin local de las Directivas Privadas de la Unin Europea para la mayora de pases europeos y otros. Existen otras reglamentaciones dependiendo del sector y la geografa que, de ser aplicables, deberan ser consideradas. Algunos ejemplos estn listados en la FIGURA 1.2. FIGURA 1.2 La Realidad de los Nuevos Negocios

Referencias en espaol de la FIGURA 1.2: Triangulo inferior: Gobierno de la Seguridad de la Informacin Barra sobre tringulo: Aseguramiento de la informacin y las identidades digitales Contenido rectngulo izquierdo: Empleados - Productividad mejorada y auto-servicio Clientes - Acceso a la informacin y a los servicios Proveedores - Procesos de negocios fluidos Ttulo rectngulo izquierdo: Empresa Extendida Ttulo rectngulo derecho: Gobierno y Reglamentacin

Los Sistemas de Informacin pueden generar muchos beneficios directos e indirectos, pero tambin tantos o ms riesgos directos e indirectos. Estos riesgos han conducido a una brecha entre la necesidad de proteger los SI/TI y el grado de proteccin aplicado. Existen factores internos y externos causantes de esta brecha, entre los que se incluyen: El uso ampliamente difundido los SI/TI La interconexin entre los SI/TI El desarrollo no centralizado de los SI/TI El hosting externo de los SI/TI La eliminacin de la distancia, el tiempo y el espacio como restricciones La irregularidad del cambio tecnolgico El traspaso de la administracin y el control La ingeniera social La atraccin de organizaciones conducir ataques electrnicos no convencionales contra las

Diversos factores externos (tales como los legislativos), requisitos reglamentarios y legales y tambin desarrollos tecnolgicos diversos La dependencia tecnolgica del negocio El acceso a Internet a travs de Intranets La dependencia de Internet para el comercio y las transacciones

Estos escenarios quieren decir que hay nuevas reas de riesgo que podran tener un impacto significativo en operaciones comerciales crticas, tales como: Aumento de los requisitos de disponibilidad, elasticidad y robustez Incremento del potencial uso indebido y abuso de los Sistemas de Informacin afectando la privacidad y los valores ticos Peligros externos de hackers, que conduzcan a la denegacin del servicio y ataque de virus, extorsin, espionaje industrial, y fuga de informacin de la organizacin o de datos privados

Debido a que las nuevas tecnologas proveen el potencial para incrementar dramticamente el desempeo del negocio, la Seguridad de SI/TI demostrada y optimizada puede aadir verdadero valor a la organizacin, contribuyendo a la interaccin con los socios comerciales, a las relaciones ms estrechas con los clientes, a la mejora de la ventaja competitiva y a la proteccin de la reputacin. Tambin puede permitir nuevas y ms fciles maneras de procesar transacciones electrnicas y generar confianza.

No est tan lejos el da en que, en la economa global, a una organizacin que quiera negociar se le solicite que presente su poltica de Seguridad de SI/TI y una prueba de desempeo, en trminos de pruebas de penetracin y auditorias de seguridad independientes, dirigidas a garantizar la seguridad de sus recursos de SI/TI.

Las organizaciones que cotizan en bolsa y otros sectores de infraestructura crtica estarn obligados en poco tiempo a informar todos aquellos acontecimientos de importancia relacionados con la Seguridad de SI/TI de forma tal de poder recopilar informacin precisa sobre ataques y prdidas.

Por ejemplo, el requisito de reportar en tiempo real de SOX significa que los acontecimientos que puedan ser de importancia para el desarrollo financiero de la organizacin deben ser inmediatamente informados a la SEC (US Securities and Exchange Commission: agencia federal que regula los mercados financieros y burstiles de EEUU). Para poder cumplir con estos requisitos, los procesos administrativos y los Sistemas de Informacin que los soportan requerirn, en muchos casos, un importante rediseo con nfasis en lo analtico.

El Gobierno de la Seguridad de SI/TI, cuando se implementa correctamente, debera proveer cuatro resultados bsicos:

1. Alineacin estratgica Requerimientos de seguridad originados por necesidades de la empresa especficamente desarrollados para proveer orientacin sobre qu debe hacerse y una medida de cundo ha sido logrado Soluciones de seguridad adaptadas a los procesos de la empresa que tienen en cuenta la cultura, el estilo de gobierno, la tecnologa y la estructura de una organizacin Inversin en Seguridad de SI/TI alineada con la estrategia de la empresa y un perfil de amenazas, vulnerabilidades y riesgos bien definido.

2. Transmisin de valores Un conjunto estndar de prcticas de Seguridad de SI/TI; por ejemplo: requisitos bsicos que sigan prcticas adecuadas y suficientes, proporcionales al riesgo Esfuerzo priorizado y distribuido sobre aquellas reas de mayor impacto y beneficio econmico Soluciones basadas en estndares comoditizados [commoditized] e institucionalizados Soluciones totales - que abarquen a toda la organizacin, los procesos y la tecnologa - basados en una comprensin cabal del negocio de una organizacin Una cultura de mejora continua basada en el entendimiento de que la Seguridad de SI/TI es un proceso, no un acontecimiento

3. Administracin del riesgo Una comprensin colectiva de las amenazas perfiles de riesgo alas organizaciones, sus vulnerabilidades y

Una comprensin de la exposicin al riesgo y de las consecuencias potenciales del compromiso Conciencia de las prioridades de la administracin del riesgo basadas en las consecuencias potenciales Mitigacin del riesgo suficiente como para lograr consecuencias aceptables del riesgo residual Aceptacin/deferencia del riesgo basada en una comprensin de las consecuencias potenciales del riesgo residual

4. Medicin del desempeo Conjunto definido, acordado y significativo de mtricas adecuadamente alineadas con los objetivos estratgicos Proceso de medicin que ayudar a identificar defectos y a obtener una devolucin sobre el progreso realizado en la resolucin de los temas Aseguramiento independiente provisto por evaluaciones y auditoras externas

En un creciente nmero de situaciones, los activos digitales constituyen la mayor parte del valor de una organizacin. Hay un esfuerzo creciente en reconocer esta situacin y en capitalizar el valor de los activos digitales para ser incluidos en la hoja de balance de la organizacin. Esta evolucin ver un mayor nfasis puesto en brindar a los activos digitales las mismas protecciones que le son provistas a los activos fsicos.

El crecimiento y el xito de la mayora de las empresas se basa en implementar SI/TI para un uso seguro y redituable. Todas las empresas se beneficiarn con una propuesta integrada e integral del Gobierno de la Seguridad de SI/TI.