Modelo de Madurez para la Seguridad de la Informacin

Dougglas Hurtado Carmona, Eliana Nieto M y Angelo Rosana Polo

Fecha de recepcin: 05 de Junio de 2009 Fecha de aprobacin: 02 de Julio de 2009 RESUMEN

En un ambiente de tan rpido cambio como la seguridad de la informacin, cmo puede una organizacin saber qu tan segura est? La globalizacin y toda la competencia que ella trajo no dan la oportunidad de detenerse a pensar; se deben tomar decisiones rpidas y acciones an ms rpidas. Es importante contar con un modelo fcil de asimilar y ejecutar que cubra todas las necesidades de seguridad de una empresa. Revisaremos brevemente algunos modelos publicados y propondremos un Modelo de Madurez para la Seguridad de la Informacin que sirva como base para desarrollos posteriores. Palabras Clave Seguridad, Informacin, Madurez, Sarbanes-Oxley

informes financieros eran cuidadosamente preparados para ocultar sus prdidas y la informacin que se le presentaba a las comisiones de bolsa estaba maquillada.[4] A raz de esto, su empresa de auditoria y certificacin, Arthur Andersen, una de las llamadas cinco grandes empresas mundiales de auditoria, tambin se vio desprestigiada y su licencia de operaciones fue cancelada. Qu podemos aprender de todo esto? Tal vez lo primero que se piense es que para tomar conciencia de la seguridad en la administracin de la informacin se necesita que ocurra algn desastre, o que para revisar y remediar los problemas que se tienen actualmente, los Estados Unidos tienen que obligarnos a hacerlo cambiando sus leyes [3]; pero lo que realmente nos ensea es que la seguridad de la informacin es integral. No es suficiente con proteger la informacin de los ataques externos o colocar un firewall para proteger el acceso a Internet. La seguridad es algo que comienza en casa, que hay que tomar en serio y que debe comenzar por las personas para desde ah cubrir los procesos y los sistemas. Consideramos que un modelo de madurez para la seguridad de la informacin debe proveernos de una base slida en la cual fundamentar nuestros sistemas de seguridad, pero adems debe permitirnos evaluar de una forma lo ms precisa posible el nivel en el que se encuentra la organizacin de manera que se pueda planear el paso al siguiente nivel y llegar, finalmente, a un estado de evolucin rpida desde el cual podamos contrarrestar los nuevos riesgos y amenazas que se presenten. II. LA LEY SARBANES-OXLEY

ABSTRACT
In a rapidly changing environment like information security, how does a company know where it stands? The globalization and all the competition it brought dont give plenty of time to stop and think; we have to decide fast and act faster. Its important to have a maturity model thats both easy to understand and deploy, while covering all the security needs of an organization. Well briefly go over a few published models and propose a Maturity Model for Information Security that will act as a foundation for future development. Keywords Information, Security, Maturity, Sarbanes-Oxley

I. INTRODUCCION A finales del ao 2001 la bancarrota de Enron Corporation, una empresa lder mundial en los mercados de electricidad, gas natural, papel y comunicaciones, con ms de 21,000 personas empleadas, sacudi al mundo financiero[1]. Sus ganancias reportadas de ms de 111 billones de dlares en el 2000 eran el resultado de un elaborado fraude interno, sus

Dougglas Hurtado Carmona: dhurtado@sanmartinbaq.edu.co, dougglash@yahoo.com.mx. Ingeniero de Sistemas, Magster en Ingeniera de Sistemas y Computacin. Jefe Investigaciones FUSM Puerto Colombia. Eliana Nieto M: eli_nieto@yahoo.com, Ingeniera de Sistemas, Minor en Seguridad Informtica y Computacin Forense Fundacin Universitaria San Martn. Barranquilla. Angelo Rosana Polo: arosania@mac.com, Ingeniero de sistemas, Minor en Seguridad Informtica y Computacin Forense Fundacin Universitaria San Martn. Barranquilla.

Aunque no es un modelo de madurez en seguridad, no se puede dejar de lado un acto legislativo [3] que se hace de cumplimiento obligatorio para toda organizacin que necesite realizar negociaciones con bancos o empresas norteamericanas. Adems, su aporte a los controles internos en los sistemas de informacin es invaluable. Esta legislacin establece una serie muy amplia de estndares nuevos y mejorados para todas las juntas directivas de empresas pblicas y firmas de auditoria en los Estados Unidos; igualmente obliga a la SEC (Security and Exchange Commission) a crear nuevas reglas que obliguen al cumplimiento de la misma. Fue aprobada como mecanismo para endurecer los controles de las empresas y devolver la confianza perdida por los

32

Revista Generacin Digital Vol. 8 No. 1. Edicin 15. Octubre de 2009. ISSN 1909-9223

inversionistas; el texto legal abarca temas como el buen gobierno corporativo, la responsabilidad de los administradores, la transparencia, y otras importantes limitaciones al trabajo de los auditores.Aunque la ley es estadounidense, es aplicable a todas las empresas que estn registradas en la New York Stock Exchange (NYSE) y la National Association of Securities Dealers by Automatic Quotation, conocida como NASDAQ, y bajo la supervisin de la Securities and Exchange Commission (SEC). Por lo tanto, tambin rige para todas las empresas extranjeras que cotizan en dichas bolsas de valores, incluyendo a su casa matriz, las subsidiarias y afiliadas. [3] Una disposicin de esta ley fue la creacin de la Public Company Accounting Oversight Board (Junta de revisin de la contabilidad de las empresas pblicas o PCAOB, por sus siglas en ingls). Esta es una corporacin del sector privado sin nimo de lucro cuya funcin es supervisar a los auditores de las compaas pblicas. A. La seccin 404 El aspecto ms discutible (y discutido) de la ley Sarbanes Oxley es la seccin 404 [1], la cual requiere que tanto los directivos como los auditores certifiquen que sus controles internos sobre los reportes financieros son correctos. Esta es la parte ms difcil de implementar, ya que la documentacin y las pruebas de todos los procesos financieros exigen un alto costo en tiempo y dinero. [3][4]
El efecto de la seccin 404 en TI.

cual debe ser evaluada, as como todos los dems procesos clave, para certificar que est de acuerdo con los requerimientos de la ley. Debido a esto, y aunque la ley coloca casi toda la responsabilidad en los directivos general y financiero, el director de tecnologas de informacin juega un papel importante en la certificacin de los reportes financieros. La PCAOB sugiere la implementacin del modelo COSO, aunque las firmas de auditoria tambin utilizan el modelo COBIT para la revisin de estos procesos. III. MODELOS PUBLICADOS A continuacin se presenta en forma tabular los distintos modelos existentes. Esta recopilacin se hizo para mostrar las caractersticas de cada uno de los modelos en forma clara y concisa. Aportes importantes se tomaron del trabajo de David Chapin y Steven Akridge [2]. En la Tabla 1 se describe la comparacin entre los modelos existentes.
Tabla 1. Comparacin de modelos existentes.

MODELO Modelo de Madurez de Seguridad TI de NIST -CSEAT

DESCRIPCIN Cinco niveles de madurez progresiva: 1. Poltica 2. Procedimiento 3. Implantacin 4. Prueba 5. Integracin Cinco niveles de madurez progresiva: 1. Autocomplacencia 2. Reconocimiento 3. Integracin 4. Prcticas comunes 5. Mejora continua Cinco niveles de madurez progresiva: 1. Inicial / ad hoc 2. Repetible pero intuitivo 3. Proceso definido 4. Gestionado y medible 5. Optimizado Cinco niveles de madurez progresiva: 1. Realizado informalmente 2. Planificado y perseguido 3. Bien definido 4. Controlado cuantitativamente 5. Continuamente mejorado Cinco niveles de madurez progresiva: 1. Existente 2. Repetible 3. Persona designada 4. Documentado 5. Revisado y

COMENTARIOS Centrado en niveles de documentacin

Modelo de Evaluacin de la Seguridad de la Informacin de Citigroup (CITIISEM) Modelo madurez COBIT de de

Centrado en concientizacin y adopcin por parte de la organizacin

Centrado procedimientos especficos auditoria

en de

Fig. 1. TI como la base de toda organizacin. En esta figura se aprecia como los procesos de TI son el soporte bsico de todas las dems reas de la organizacin.

Modelo CMM [5]

SSE-

Como se puede apreciar en la Fig. 1, la mayora de las empresas utilizan la tecnologa para el almacenamiento de su informacin, documentos y procesos operacionales; por esto, los reportes financieros son, normalmente, generados por algn tipo de software. Esto hace que la divisin de tecnologa de informacin de una empresa sea vital para el proceso de control interno. El jefe de esta divisin es responsable de la seguridad, precisin y disponibilidad de los sistemas que reportan los datos financieros. Si se posee una ERP (Enterprise Resource Planning. Tal como SAP, JDEdwards, PeopleSoft, etc..) , esta se encuentra ligada a todos los procesos y reportes de los datos financieros, por lo

Centrado en ingeniera de seguridad y diseo de software

Evaluacin de la Capacidad de Seguridad de CERT/CSO

Centrado en la medicin de la calidad relativa a niveles de documentacin

Revista Generacin Digital Vol. 8 No. 1. Edicin 15. Octubre de 2009. ISSN 1909-9223

33

actualizado Mide usando cuatro niveles: 1. Inicial 2. En desarrollo 3. Establecido 4. Gestionado

permisos especficos. Promediando este nivel, se evidencia el valor de las primeras medidas de seguridad tomadas y se descubre que an hay mucho por mejorar, lo que impulsa a la organizacin a seguir aumentando en el modelo.

En esta tabla se puede apreciar que, aunque existen muchos modelos de madurez propuestos, todos presentan bsicamente la misma deficiencia: cada uno de los modelos maneja un enfoque muy particular hacia el problema, lo que hace muy difcil que cualquiera se pueda tomar como una base general aplicable a cualquier organizacin. Adicionalmente ninguno de los modelos se centra en la gestin de la seguridad, lo que consideramos como algo equivocado ya que lo que estamos midiendo es la gestin de la seguridad y no la documentacin de auditoria o los procesos de ingeniera. IV. PROPUESTA Tomando como base los modelos de estudio y los enfoques particulares de los modelos presentados en la tabla anterior, iniciamos nuestra propuesta para un modelo de madurez que cubra todos los aspectos relevantes con la seguridad de la informacin de una organizacin, teniendo en cuenta la conformidad con el acto Sarbanes-Oxley [3] como un nivel opcional, para el caso de las organizaciones que as lo necesiten. Considerando que los Modelos de seguridad basados en niveles permiten una evaluacin rpida de la situacin actual de una organizacin [7], as como las acciones a seguir para llegar al siguiente nivel, proponemos un Modelo de Madurez de 6 niveles, del 0 al 5, distribuidos de la siguiente forma como se muestra en la Fig. 2: A. Nivel de Madurez 0: Bsico Este nivel se caracteriza por procesos manuales, polticas y estndares de seguridad inexistentes, la seguridad global de la organizacin se desconoce ya que no se tienen procedimientos ni herramientas para administrarla. En algunos casos la seguridad de los sistemas ni siquiera es centralizada y los usuarios de IT poseen todos los permisos y privilegios sobre la informacin. Este nivel, aunque parezca difcil de creer, es bastante comn en nuestro medio. En algunos casos se presenta con algunas caractersticas de niveles ms avanzados, pero las bases no se encuentran ah, sino que son resultado de consultoras o de protecciones aisladas de alguna informacin. B. Nivel de Madurez 1: Estandarizado Una vez se ha tomado conciencia de la necesidad de definir procesos de seguridad, comienza uno de los trabajos ms tediosos del proceso. La organizacin debe definir sus polticas de seguridad y con base a ellas, crear los procedimientos asociados. A travs de estos se comienza a gestionar la seguridad de los equipos y la informacin, aparecen los primeros esquemas de seguridad centralizada y niveles de 34

Fig. 2. Modelo de Madurez para la Seguridad de la Informacin propuesto. Basado en niveles, el nivel 0 es considerado bsico aunque no se tiene nada ya que los procesos de la organizacin se encuentran funcionando.

C. Nivel de Madurez 2: Implementado Se han definido las polticas y procedimientos para la seguridad particular de la organizacin y estos han sido divulgados a todo el personal. Todos los empleados, nuevos y antiguos, los conocen y han firmado su compromiso con ellos. La ejecucin de los procesos de la empresa comienza a encaminarse a la seguridad como una segunda naturaleza. Los accesos a la informacin son cada vez ms restringidos y se otorgan de acuerdo a las necesidades, por grupos en lugar de por usuarios. Las medidas de proteccin externa mejoran, pero la seguridad interna todava puede presentar problemas. Este nivel introduce el concepto de administracin del cambio y comienza a evidenciarse la necesidad de separar los ambientes de desarrollo y produccin, tanto para limitar el acceso de los contratistas y proveedores a datos productivos, como para tener la capacidad de realizar pruebas sobre los cambios efectuados a las aplicaciones antes de que entren en operacin. D. Nivel de Madurez 3: Gestionado La seguridad se ha hecho parte de la organizacin y de los procesos de la misma. Los costos de administracin de la seguridad disminuyen y las polticas son optimizadas para apoyar las expansiones del negocio. La seguridad general mejora y se obtiene un control ms estricto desde el equipo Terminal, pasando por los servidores y llegando hasta la seguridad perimetral hacia las redes externas. La administracin del cambio se encuentra implementada y los procedimientos para modificaciones regulares, de mantenimiento y de emergencia son claros y bien definidos. Los sistemas de produccin estn completamente separados de los de prueba y solo el personal autorizado tiene acceso a ellos.

Revista Generacin Digital Vol. 8 No. 1. Edicin 15. Octubre de 2009. ISSN 1909-9223

La administracin centralizada de la seguridad de los sistemas de escritorio y servidores a nivel de firewall local, parches de seguridad y software antivirus permite un control general sobre el estado de la seguridad de los equipos en cualquier momento as como la rpida aplicacin de correcciones para mitigar o evitar riesgos y ataques potenciales. Sin embargo, existe un problema y es que este nivel puede dar una sensacin falsa de seguridad total y este es el punto en el que una organizacin puede pensar que ya est todo hecho y detener el proceso se puede eliminar en este punto. Aunque el nivel de seguridad obtenido es muy bueno, sobre todo si se compara con el nivel 0, no existe un punto en el que la seguridad sea completa. Para que un esquema de seguridad sea efectivo, este debe ser considerado como un proceso continuo, en el que el estado de la empresa sea evaluado constantemente contra nuevos riesgos y/o amenazas y se tomen las medidas correspondientes. E. Nivel de Madurez 4: Dinmico Al colocar la seguridad como un proceso continuo de mejora del negocio, la organizacin descubre el valor estratgico que le da el tener una infraestructura robusta y segura que les permite manejar sus negocios de forma eficiente y al mismo tiempo mantenindose un paso delante de otras empresas. La integracin entre los usuarios y los datos es clara y controlada. Los procesos fluyen mas naturalmente permitindole a reas como TI enfocarse en los cambios necesarios para mantenerse en lnea con las necesidades del negocio. La infraestructura se encuentra en un nivel ptimo, lo que permite obtener beneficios muy rpidamente en las nuevas inversiones realizadas. Nuevos riesgos y amenazas son evaluados continuamente y los sistemas de informacin son adaptados para contrarrestarlos. La administracin de los usuarios nuevos y existentes est basada en los planes y polticas definidos, por lo que los accesos a la informacin se encuentran controlados. Se realizan pruebas permanentes para determinar que los controles de seguridad implementados son los apropiados y son modificados en caso de necesidad para adaptarse al entorno. Todas las pruebas realizadas son completamente documentadas para manejarlas como un proceso de mejora continua. Se utilizan auditorias regulares internas y externas para determinar la efectividad del proceso de seguridad y realizar los ajustes pertinentes. El personal se mantiene actualizado en temas de seguridad a travs de eventos y capacitaciones dentro y fuera de la organizacin. F. Nivel de Madurez 5: Controlado (Sarbanes-Oxley Compliance) El acto legislativo Sarbanes-Oxley introduce muchos cambios en la manera de pensar de las empresas con relacin a la seguridad, pero el ms significativo es el requerimiento de registros de control internos y evidencia fsica de los mismos. Propuesto como un nivel opcional, las empresas que por su lnea de negocio requieran cumplir esta ley pueden utilizar las bases colocadas a lo largo de todo el proceso como plataforma para alcanzarlo. Este nivel consiste en realizar controles internos a lo largo de todo el proceso de administracin de la informacin, y por ende, del proceso de seguridad de la

informacin, para garantizar ante la ley estadounidense que los informes financieros y fiscales de la organizacin son completamente veraces y que reflejan la realidad de la empresa. Estos controles deben ser peridicos y permanentes, abarcando todo el proceso de seguridad de la informacin. Todos deben dejar evidencia fsica de su revisin y ser firmados por la persona responsable del control; posteriormente se almacenan para conservar todo el rastro de auditoria. V. CONCLUSIONES Al proponer un modelo de madurez de seguridad basado en niveles, podemos determinar rpidamente en qu punto nos encontramos, que tan largo es el camino que tenemos que recorrer y que acciones debemos tomar para mejorar. Nuestra opinin es muy personal y no pretendemos creer que lo que proponemos sea la verdad absoluta, pero s consideramos que es un punto de inicio para comenzar a ver la seguridad ms como un proceso de negocio que como un gasto innecesario. No quisimos dejar por fuera del modelo la ley Sarbanes-Oxley ya que, adems de ser de obligatorio cumplimiento para algunas organizaciones es de gran importancia en el mundo actual de la seguridad corporativa. REFERENCIAS
[1] Cmara de Diputados de Mxico. (2002) ENRON: su proceso de suspensin de pagos, la influencia en la poltica norteamericana y su presencia en Mxico. [On-Line], Aviliable: http://www.diputados.gob.mx/cedia/sia/se/SIA-DEC-29-2002.pdf Chapin, David. y Akridge, Steven. (2005). Cmo Puede Medirse la Seguridad? Information systems control journal, volumen 2. Congress E.E.U.U. (2002) Sarbanes-Oxley Act of 2002. [On-Line], Aviliable: news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley072302.pdf Sarbanes-Oxley - Financial and Accounting Disclosure Information [On-Line], Aviliable: http://www.sarbanes-oxley.com SEI (1999). The Systems Security Engineering Capability Maturity Model SSE-CMM version 3.0 [On-Line], Aviliable: http://www.ssecmm.org/model/model.asp SEI (2006). The Systems Security Engineering Capability Maturity Model SSE-CMM version 3.0 [On-Line], Aviliable: http://www.ssecmm.org/model/model.asp SEI (2006). Capability Maturity Model Integration CMMI Version 1.2.

[2] [3]

[4] [5]

[6]

[7]

Revista Generacin Digital Vol. 8 No. 1. Edicin 15. Octubre de 2009. ISSN 1909-9223

35