Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 19 de octubre de 2007

LA FUNCIÓN DE SEGURIDAD INFORMÁTICA EN LA EMPRESA


Este siempre ha sido un tema complicado porque cada organización es distinta y no hay un acuerdo sobre la mejor manera de organizar un área de seguridad informática en una empresa.

Por lo tanto lo que les expongo aquí no es una mejor práctica, simplemente se trata de algunas sugerencias basadas en mi experiencia.

Componentes principales de un área de seguridad informática
Existen diversas funciones que debe desempeñar un área de seguridad informática y éstas se pueden agrupar de la siguiente manera:


Hay un par de áreas que no son tan comunes y que están en color gris en el diagrama: normatividad y desarrollo. Al revisar las responsabilidades y funciones de cada área quedará más claro el por qué. Por lo pronto les comento que es menos probable encontrar estas 2 áreas en empresas medianas o pequeñas, mientras que en empresas grandes es más común que existan las 4 áreas junto con la figura del líder de área.

Líder de área Esta figura, a la cual se le suele conocer como CISO (Chief Information Security Officer - Oficial de Seguridad informática). Entre sus responsabilidades se encuentran:

* Administración del presupuesto de seguridad informática
* Administración del personal
* Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
* Administración de proyectos
* Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución

El líder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa.

Normatividad
Es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO. Por esta razón se le suele ver como un área que asiste al CISO en las labores de cumplimiento.

Operaciones Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del área (en otras palabras, la "gente que está en la trinchera"). Entre sus responsabilidades se encuentran:

* Implementación, configuración y operación de los controles de seguridad informática (Firewalls, IPS/IDS, antimalware, etc.)
* Monitoreo de indicadores de controles de seguridad
* Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los controles de seguridad que operan)
* Soporte a usuarios
* Alta, baja y modificación de accesos a sistemas y aplicaciones
* Gestión de parches de seguridad informática (pruebas e instalación)

Supervisión Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del área de normatividad). Entre sus responsabilidades se encuentran:

* Evaluaciones de efectividad de controles
* Evaluaciones de cumplimiento con normas de seguridad
* Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes)
* Atención de auditores y consultores de seguridad

Noten que las actividades de monitoreo las realiza el área de operaciones y no el área de supervisión. Esto es porque el monitoreo se refiere a la vigilancia del estado de la seguridad de la empresa a través de los controles, pero las actividades del área de supervisión se limitan a la vigilancia de las actividades de seguridad que realizan otras áreas. La única excepción es la investigación de incidentes. Operaciones no investiga porque en algunos casos podrían se juez y parte. Por ejemplo, en el caso de una intrusión no es válido que el mismo personal que operaba los controles que protegían el servidor investiguen el suceso porque no puede haber objetividad (aunque no sea el propósito de la investigación, de cierta manera los resultados de la misma podrían calificar indirectamente la efectividad del personal del área de operaciones). La razón por la cual es preferible que esta área sea el punto de contacto con auditores y consultores es porque sus labores son afines y es más probable que tengan a la mano la información que requieran o sepan quién la tiene.

Desarrollo
Es el área responsable del diseño, desarrollo y adecuación de controles de seguridad informática (típicamente controles de software). Entre sus responsabilidades se encuentran:

* Diseño y programación de controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
* Preparación de librerías con funciones de seguridad para su uso por parte del área de Desarrollo de Sistemas
* Soporte de seguridad para el área de Desarrollo de Sistemas
* Consultoría de desarrollos seguros (integración de seguridad en aplicaciones desarrolladas por Sistemas).

Básicamente se trata de un área de desarrollo enfocada a cuestiones de seguridad. La razón de requerir un área dedicada para esto es que la integración de controles efectivos en software es una tarea muy compleja; el perfil de un programador promedio no incluye experiencia ni conocimientos en seguridad (y particularmente en criptografía). Esta es la razón por la cual sólo las grandes empresas cuentan con un área de desarrollo de seguridad que está formada por especialistas en vez de programadores ordinarios.

¿Dónde debe estar la función de Seguridad Informática? Este es otro problema para el cual no hay una respuesta única. Podemos empezar por listar las áreas o direcciones de las cuales no debe de depender el área de Seguridad Informática:

* Sistemas - Mucho de lo que vigila el área de operaciones de seguridad son precisamente los sistemas y las redes de telecomunicación. El área de sistemas tiene como prioridad la operación, y los controles tienden a impactar de cierta forma el desempeño y flujo operativo (pero no por esto dejan de ser necesarios). El hecho de que Seguridad Informática dependa del Área o Dirección de Sistemas genera conflictos de interés.
* Auditoría Interna - La función de auditoría es verificar la efectividad y existencia de controles en todas las áreas de la organización (incluyendo Seguridad). Auditoría no opera, pero el área de Operaciones de Seguridad sí, por lo que habría conflictos de interés (Auditoría revisaría en parte algo que ella misma hace, lo que la convertiría en juez y parte)
* Unidades operativas del negocio - por la misma razón que para el área de Sistemas

Por supuesto hay algunas áreas que no hace mucho sentido que incluyan la función de Seguridad Informática (Recursos Materiales y Recursos Humanos, por ejemplo), pero hay áreas donde sí puede colocarse esta función, como por ejemplo:

* Cumplimiento - Cumplimiento no es Auditoría. El área de Cumplimiento define establece las normas internas y supervisa su aplicación de la misma manera que las áreas de Normatividad y Supervisión lo hacen dentro de la función de Seguridad Informática.
* Jurídico - Esta área atiende todos los asuntos legales de la empresa. Como tal el tener al área de Seguridad dentro de la misma constituye un excelente apoyo para implementar controles que garanticen el cumplimiento de la ley.
* Finanzas - Esta área se asegura del buen uso del dinero de la empresa. Contar con un área de Seguridad Informática le permite asegurar la implementación adecuada de controles para minimizar riesgos que tengan impacto económico (fraudes, fugas de información, etc.). Dada la dependencia de los sistemas informáticos para el manejo de las finanzas en la actualidad este esquema es una buena opción para algunas empresas.
* Riesgos - El área de Seguridad Informática dependiendo del área de riesgos permite controlar y evaluar la mitigación de aquellos riesgos que afectan a los sistemas informáticos y la información que se almacena, procesa, genera o transmite a través de los mismos. Dada la dependencia que tienen muchos procesos productivos de los sistemas de información en la actualidad, ésta es una buena opción también para muchas empresas.
* Dirección General - Permite tener un estricto control de los recursos informáticos de la Empresa. Desafortunadamente este esquema es difícil por la diferencia de lenguajes y niveles entre ambas áreas así como las prioridades y el poco tiempo que suele tener la Dirección General, pero algunas organizaciones así lo tienen (por ejemplo, algunos Bancos).

Podría parecer que la existencia de las áreas de Operaciones y Desarrollo de Seguridad generan un conflicto de interés en los casos anteriores, pero no es así, ya que el conflicto está controlado por la separación interna de funciones dentro de la misma Área de Seguridad; con respecto al resto de las áreas, no se interfiere con su operación y existe separación de funciones, ya que el área de Operaciones de Seguridad realiza únicamente funciones de soporte al negocio y no interviene de forma directa en dichos procesos. Adicionalmente, la existencia de un área de Auditoría Interna separada permite una revisión imparcial de las funciones de Seguridad que dependa de cualquiera de las 3 áreas mostradas anteriormente. En ninguno de los casos anteriores la implementación y supervisión de controles de seguridad informática es un factor tan importante debido a su orientación a controlar; a diferencia del caso de Sistemas, donde su orientación es a producción.

De todas maneras, no hay un área ideal de dónde colgar al área de Seguridad Informática (si la hubiera, todo mundo lo haría así) quizás la dependencia directa de la Dirección General pero no es viable o fácil de lograrla en muchas empresas.

¿Función Centralizada o Distribuida?
Nuevamente, una pregunta que ha dado origen a interminables discusiones filosóficas sin ningún consenso, pero aquí trataré al menos de definir ventajas y desventajas de ambos esquemas así como algunas estrategias de distribución que han funcionado en algunas organizaciones.

Función centralizada
La función centralizada permite un mejor control y desempeño de las funciones de seguridad informática, sin embargo, este esquema también suele generar algunos roces con otras áreas de la empresa, particularmente con el área de Sistemas.

En mi opinión esta es una mejor opción para áreas donde el control sea esencial (incluso requerido por regulación) y se pueda sacrificar algo de desempeño en producción a costa de una mejor vigilancia. Algunos sectores que donde este esquema puede ser benéfico son: Financiero, Farmacéutico, Salud, Gobierno, Organismos Militares y Organismos Policiales.

Existe también la opinión de muchos especialistas de no sólo mantener una función central de Seguridad informática, sino incluso fusionarla con el área de Seguridad Física. Mi opinión al respecto es que debe existir integración entre ambas funciones de seguridad, pero en mi experiencia la dependencia de una de la otra no genera siempre buenos resultados. Lo ideal en mi opinión es integrar ambas bajo un mismo líder, el famoso CSO (Chief Security Officer).

El único cambio que yo vería en la integración de ambas funciones es el pasar la responsabilidad de implementación de los controles de seguridad física al área de Seguridad Informática (lo mismo con el desarrollo de controles si es el caso). Esto debido a que hoy en día, la mayoría de los controles de seguridad física se basan en sistemas informáticos (control de acceso, CCTV, alarmas de intrusión, etc.) y es más eficiente realizar estas funciones a través de gente con conocimientos y experiencia en sistemas.

En este caso, el área de Seguridad (física e informática) podría distribuirse de la siguiente manera:



Función Distribuida
Para algunas organizaciones hace más sentido distribuir la función de la seguridad ya que esto permite tener un mejor desempeño operativo a costa de menor control y desempeño en la seguridad informática. Algunos ejemplos de sectores de empresas donde esto suele suceder son: Manufactura, Servicios, Consultoría, Telecomunicaciones y Comercial.

En este esquema podemos pasar algunas funciones a áreas que normalmente no deberían contar con toda la función de seguridad informática. Por ejemplo, podríamos pasar las áreas de Operaciones de Seguridad y Desarrollo de Seguridad al área de Sistemas, integrándolas en las funciones correspondientes, siempre y cuando exista un líder de Seguridad Informática separado y que la función de Supervisión también se encuentre separada. El área de Normatividad de Seguridad podría recaer en el área de Cumplimiento y el área de Supervisión de Seguridad podría pasarse al área de Auditoría Interna (igualmente, sólo si las áreas de Operaciones de Seguridad y Desarrollo de Seguridad están en otro lado). Finalmente el CISO puede depender de alguna de las áreas antes mencionadas.

Un ejemplo de una función de Seguridad totalmente distribuida sería el siguiente:


Mi esquema preferido es un esquema parcialmente distribuido, donde el área de Seguridad Informática Depende directamente de la Dirección General y cuenta con áreas de Supervisión y Normatividad, mientras que las áreas de Operaciones de Seguridad y Desarrollo de Seguridad dependen del área de Sistemas.

Una de las razones principales por las que prefiero que estas 2 áreas dependan de Sistemas es por la burocracia que se genera al tenerlas dentro de un área de Seguridad centralizada. Por ejemplo, si un área operativa requiere que se abra un puerto en un firewall para instalar un nuevo sistema que urge (ya saben que en las empresas todo urge) es más rápido que el equipo de Operaciones de Seguridad en el área de sistemas se ponga de acuerdo con el equipo de Telecomunicaciones y aplique el cambio después de una breve revisión de impacto. Si hubiera algún conflicto de interés (ej. que se encontrara algún riesgo pero que el Director de Sistemas ordenara el cambio de todas maneras), eventualmente el área de Seguridad (a través del Equipo de Supervisión de Seguridad) se daría cuenta y tomaría acciones (de forma directa o a través de otra área). Igualmente, para resolver algún problema de Seguridad sencillo (por ejemplo una infección por Virus) es más fácil y rápido si el área de Operación de Seguridad está dentro de sistemas porque en estos casos esta área requiere del apoyo de personal de Sistemas (administradores por ejemplo); en el peor de los casos un Director de Sistemas podría pedir que se retrase la solución para dedicar a su gente a resolver otros problemas que considera más urgentes.

Si bien este tipo de conflictos se llegan a presentar, de acuerdo a mi experiencia son menos frecuentes de lo que mucha gente piensa (en la actualidad, la mayoría de los Directores de Sistemas y el personal de esta área se han sensibilizado ante los problemas de seguridad informática) y el beneficio en términos de tiempos de respuesta y menor roce con el área de Seguridad bien valen la pena. Pero ésta es sólo mi opinión.

Fuente: http://candadodigital.blogspot.com/2007/10/la-funcin-de-seguridad-informtica-en-la.html

Ver más