Links Recomendados de la Semana

Estimados Lectores:

Para finalizar la semana laboral, les dejo con links recomendados de esta semana.

http://blog.segu-info.com.ar/

http://blogs.eset-la.com/laboratorio/

http://www.dragonjar.org

http://www.bsecure.com.mx

http://www.iso27000.es/

Entre Sábado y Domingo si el tiempo lo permite colaboraré con laboratorios técnicos, de lo contrario lo haré los primeros días de la próxima semana.

Participaré de los festejos por el INTI RAYMI (fiesta del sol) en honor al “dios sol”, un ritual ancestral que nuestros pueblos andinos festejan desde hace siglos para celebrar el solsticio de verano; y ojalá pueda alcanzar a publicar en el Blog.

“No todo es trabajo y estudio, el alma también necesita alimento.”

Saludos.

Desarrollando las Políticas de Seguridad de la Información

Sin mucho preámbulo y luego de un silencio un tanto obligado les comparto esta experiencia.

Últimamente se me ha encomendado la tarea de desarrollar una Política de Seguridad de Información para la empresa donde trabajo.

La primera disyuntiva con la que me encontré fue definir el nombre que le debía dar al documento, confieso que no fue fácil. Primero pensé en “Políticas de Seguridad Informática” de hecho el primer borrador tuvo ese nombre, pero luego del aporte de varios puntos de vista de diferentes colegas y sobretodo de los intructores, Gabriel Rodríguez (CISSP de ISEC) y de Julio Ardita (CTO de Cybsec) decidí cambiar el título del documento a “Políticas de Seguridad de la Información”

En inicio no entendía muy bien la diferencia, si me preguntaban tiempo atrás, ¿cuál es la diferencia entre “Seguridad Informática” y “Seguridad de la Información”?, de seguro hubiese mencionado que no le encuentro diferencia alguna. Desde el punto de vista personal, por lo investigado y por la experiencia en el desarrollo de esta política podría decir que la principal diferencia entre los dos términos radica en el alcance.

Seguridad Informática, se  desarrolla en torno a la tecnología (hardware, software, etc) y la implementación de controles y contramedidas para proteger estos activos, mientras que; Seguridad de la Información, cubre un espectro más amplio en donde se considera a la información como el activo a proteger, tomando en cuenta toda forma que esta pueda tomar en la organización, lo que puede llegar a implementar medidas de seguridad, tanto al recurso humano para proteger información que posee o conoce y que es considerada de vital importancia para el negocio, como implementar seguridad que contemple la protección de oficinas o áreas consideradas críticas para un buen desenvolvimiento del negocio. Incluso considero que una Política de Seguridad de la Información podría contener elementos de una Política de Seguridad Informática.

Una vez que tuve “más” claros los conceptos, empecé el desarrollo de esta política, alineándola a la realidad empresarial para la cual fue diseñado dicho documento.

Es importante mencionar que hay que enfocar la política de acuerdo al negocio, no es lo mismo desarrollar una política para una empresa que se dedica a comercializar productos farmacéuticos, que desarrollar una política para una entidad pública. También es importante evaluar el nivel de importancia que la Seguridad de la Información tiene en el negocio y sobretodo en la Alta Dirección.

El Ambiente.

El desarrollo de la política fue en base al siguiente escenario (real). La empresa no cuenta con una política de seguridad de la información aprobada y socializada en todos los niveles. Existe un área denominada “Seguridad Informática” que es parte del Departamento de Tecnología la cual ha sido encargada de realizar el documento de Políticas, y el Departamento de Tecnología se encuentra bajo una Subgerencia que reporta a la Alta Dirección.

Existen antecedentes de ocurrencia de incidentes  de la Seguridad de la Información, y todos han sido canalizados al Departamento de Tecnología, los cuales en algunos casos debieron haberse reportado al área de Recursos Humanos.

Con estas premisas procedí a desarrollar la Política de Seguridad para la empresa donde colaboro.

Desarrollando la Política.

La versión preliminar de la Política que fue enviada a la Alta Dirección, considero es una declaración de prohibiciones técnicas y no una Política, lo digo como “mea – culpa” y lo menciono porque fue una lección aprendida. Las Políticas deben ir más allá de declarar prohibiciones, deben dar las directrices y lineamientos a seguir en lo que ha seguridad de la información se refiere.

Considerando que el factor humano es preponderante, crítico y que puede determinar el fracaso o éxito de este tipo de políticas, procedí a tomar como referencia el documento http://www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf, que presenta un modelo de “Política de Seguridad de la Información” para las entidades de gobiernos en Argentina y que puede resultar muy aplicable a nuestra realidad. Dicho documento hace mucho énfasis en las Políticas que se deben aplicar tomando en cuenta el factor humano.

El documento está basado en lo que la ISO 27000 recomienda en cuanto al desarrollo de una Política de Seguridad de la Información, uno de los puntos que pienso falta reforzar en el documento guía, es lo que se refiere a Concientización de Usuarios. Por lo demás considero es un modelo muy completo y que como referencia sirve de mucha ayuda.

Tomando en cuenta lo antes mencionado, enfoqué el documento considerando siguientes aspectos:

  • Organización de la Seguridad

Orientado a administrar la seguridad de la información y establecer un marco gerencial para controlar su implementación. Principalmente se promueve la Creación del Comité de Seguridad de la Información en toda la empresa.

  • Seguridad del Personal

Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado de instalaciones.

  • Gestión de las Comunicaciones y las Operaciones

Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.

  • Control de Acceso

Orientado a controlar el acceso lógico a la información.

Es importante recalcar que el documento solo es el punto de partida, y que hay que complementarlo con otros documentos que describan normas y procedimientos que permitan cumplir lo que reza el Documento de Políticas de Seguridad de la Información. En estas normas y procedimientos es donde se puede mencionar de manera adecuada lo que está o no permitido. Tratando en lo posible de aplicarlo con la regla del “menor privilegio”.

Luego viene la parte administrativa y el trabajo para crear conciencia en la Alta Gerencia para que le dé al Documento la importancia debida, lo que permitirá implementar dichos lineamientos y directrices en toda pero absolutamente toda la organización.

“TODOS” pero “TODOS” los colaboradores de la empresa sin excepción alguna deben ajustarse a lo que reza la política, lamentablemente esto no se cumple, el éxito de la implementación de estas políticas se lo puede lograr con campañas de concientización y controles bien definidos.

Quienes tienden a oponerse a cumplir con la Política son Mandos Operativos, Mandos Medios y hasta la misma Alta Gerencia, si esto sucede y  es recurrente pese haber hecho y agotado todas las posibilidades de posicionamiento de las Políticas de Seguridad de la Información, es señal de que este tema no es de importancia para la empresa, en este caso y como un criterio muy personal, lo que Yo haría es, entregar un informe con los riesgos que implica no tener implementado lo que la Política sugiere y dar un paso al costado. La política debe estar orientada y ser aplicable para TODOS y nadie debe por ninguna excepción incumplirla, incluso las excepciones deben estar descritas en dicho documento.

Factores Críticos de éxito.

Para que la Política de Seguridad y la función de Seguridad de Información tengan el éxito debido, considero deben tomarse en cuenta las siguientes consideraciones:

  • Apoyo y auspicio de la Alta Gerencia.
  • Roles y responsabilidades bien definidos.
  • Conformación de Comité de Seguridad de la Información integrado por todas las áreas involucradas de negocio.
  • Comunicación adecuada.
  • Seguridad de la Información debería ser parte de un Departamento influyente en la empresa, puede ser Auditoría Interna o la unidad de Riesgos, es considerado una mala práctica ubicarlo en Tecnología, si bien es lo más común es lo menos recomendable. “No se puede ser Juez y Parte”.
  • Concientización y Capacitación adecuada.
  • Normas y Procedimientos bien definidos y alineadas con la Política.

Suena complicado pero para quienes sentimos pasión por el tema es realizable,  si no se lo puede implementar por alguna razón no hay que desmotivarse, si las políticas son lógicas y coherentes, estás siempre tendrán acogida en uno u otro lugar.

Por último puedo decir que, todo lo mencionado en esta artículo es desde el punto de vista personal y experimental, por ningún motivo quiero dar a entender que así son como se deben hacer las cosas, pueden existir mejores alternativas; la idea es compartir mi punto de vista y experiencia para poder recibir la retroalimentación de quienes leen y siguen este blog. No soy un gurú o experto del tema, soy alguien que le apasiona el tema y que recurre al intercambio de conocimiento para poder aportar.

Sus comentarios, sugerencias, correcciones, quejas, etc, etc, sean siempre bienvenidas.

100% Protegidos

Está por demás trillada la frase “En seguridad informática nada es 100% seguro”; entonces que es lo que debemos hacer para disminuir esa brecha e intentar acercarnos a un nivel aceptable de seguridad informática, sin que esto signifique degradar el performance (rendimiento)  de nuestros equipos o disminuir la calidad de un determinado servicio debido a la desmesurada implementación de medidas y contramedidas de seguridad que permitan asegurar nuestros activos de información.

Muchas veces nos centramos en asegurar todos nuestros activos de información y olvidamos asegurar lo más importante, el recurso humano y todo lo que ello involucra, cuantas veces la continuidad de una determinada actividad en una empresa se ha visto afectada porque el empleado X o Y “estrella” de la organización se enfermó y no acudió a su lugar de trabajo, que pasaría si el “empleado estrella”, decide de la noche a la mañana renunciar, ¿hemos evaluado el impacto que esto generaría a nuestros negocios?

La idea es asegurar lo verdadermente importante, pero sin llegar a exageraciones como se lo ilustra en las siguientes imágenes:

Un poco de humor reflexivo para refrescar la tarde 🙂

Una buena tarde y noche a todos.

A %d blogueros les gusta esto: