La información es un activo vital para el negocio, pero no es siempre reconocida como tal. En el pasado se han desencadenado diversas fugas de información que han terminado por paralizar a muchas organizaciones, que en muchos de los casos han generado daños irreparables. La incapacidad de poder de visualizar los efectos de la pérdida de información crítica puede dar lugar a importantes consecuencias. Las organizaciones que no se preocupan de posicionar estratégicamente a sus grupos de seguridad de la información (ISG), no llegan a recibir los beneficios y resultados esperados en este ámbito. Por otro lado, las partes interesadas observan con ojo crítico la función y los presupuestos asignados que siempre son altos en comparación con otros departamentos. Muchos empleados sienten que el ISG es eficaz en un modo reactivo para responder ante incidentes de seguridad, pero no necesariamente un área que se anticipa a estos escenarios. La evaluación del ROI (retorno sobre la inversión) conjuntamente con precisar los beneficios de los proyectos de seguridad poseen un cierto grado de dificultad.
La Seguridad de la Información es por lo general la principal prioridad para el Gerente de Sistemas de Información (CIO). Es por ello que los CIO deben garantizar un enfoque Top-Down (De mayor a menor criticidad) y la cultura de trabajo orientada a la Seguridad de la Información dentro de la organización. Una vía práctica de iniciación para el Gerente de Sistemas en temas de seguridad de información es trabajar conjuntamente con el Oficial de Seguridad (CISO) para definir un marco de gobierno de manera que el CISO asuma la responsabilidad operativa en su totalidad. En muchas organizaciones, los CIO pierden el dominio técnico de manera exponencial debido a la rápida evolución de la tecnología. El desafío está en abordar el panorama de la seguridad técnica, sensibilizando a la junta en relación a este enfoque, invirtiendo proactivamente y redefinir el ISG como un centro de beneficios para la empresa. La forma ideal para el CIO es lograr introducir un modelo de ingresos en el cual se proyecta las posibles pérdidas que puedan resultar de no hacer estos cambios, por ejemplo, el impacto de una falla de seguridad complementado con un análisis de coste-beneficio. El gobierno de la seguridad de TI no debe confundirse con gestión de la seguridad de TI. La gestión de la seguridad de TI se trata de tomar decisiones para mitigar el riesgo, mientras que el gobierno determina quién está autorizado para tomar decisiones. El gobierno de seguridad de la información se refiere a la dirección, la estructura organizativa, roles y responsabilidades, y diversos procesos establecidos para la seguridad de la información. Mientras la gestión recomienda estrategias de seguridad, gobierno asegura que las estrategias de seguridad estén alineadas con los objetivos de negocio y de conformidad con la regulación vigente.
La posición específica del CISO y la distribución de tareas
La seguridad de la información debe ser una de las mayores prioridades en el cuadro de control, debido a ello la siguiente necesidad del CIO es el empoderamiento táctico del CISO (figura 1). Algunas organizaciones exigen que el CISO reporte directamente al CIO (o sea, el CIO tiene autoridad sobre el CISO) y una relación de línea segmentada al CEO, lo que significa que este puede ejercer una influencia, pero no la autoridad. Esta estructura organizativa le permite al CISO escalar y garantizar de forma efectiva el apoyo de alto nivel a las partes interesadas.
Mediante el desarrollo y la utilización de un marco de gobierno de seguridad, el CISO podrá garantizar que las estrategias de seguridad estén alineadas con los objetivos del negocio y las regulaciones aplicables. Mientras el CISO estandariza y afina las políticas de unidades de negocio específicas, el CIO debe inicialmente ser el integrador general. Una vez que la operación esté madura el CIO podrá delegar de forma efectiva la responsabilidad de la Integración del CISO. De esta forma el CIO y CISO deberán equilibrar la seguridad interna, las necesidades de cumplimiento y el presupuesto asignado. El CISO debe analizar en profundidad, el aporte de valor de los proyectos de seguridad y la optimización de actividades.
Los administradores de seguridad seleccionados por el CISO, deben trabajar con las unidades internas de negocio para seleccionar herramientas adecuadas que sean eficaces y escalables según el contexto dado.
El CISO
En el programa de gobierno de la seguridad de información, los roles y las responsabilidades del CISO deben estar bien definidos. Una de las principales responsabilidades del CISO es la elaboración de una estrategia de seguridad de largo plazo y obtener las aprobaciones de la junta. Esto debe ser coherente con planes de seguridad para los sistemas individuales.
El CISO debe ser un mentor vehemente y siempre alentar a los miembros del equipo a adoptar una postura que haga frente a los requisitos de seguridad de las unidades de negocio y sensibilizar en relación al panorama amenazas externas.
El CISO debe recoger la información en relación a las métricas definidas e informar a la junta sobre la eficacia del programa de seguridad de la información. Antes de la protección de toda la información disponible, los intentos iniciales deben focalizarse en la identificación, ubicación de la información crítica y quienes la poseen.
La clasificación de datos se basa en el nivel de criticidad lo que determina la base de cualquier estrategia de seguridad de la información. Una vez que se identifica la información crítica, el éxito depende sobre los controles utilizados para protegerla.
El Rol que juega el equipo de Seguridad
El equipo de seguridad de la información que opera bajo la dirección del CIO, siempre debe estar a disposición de la empresa para guiar y atender consultas.
El equipo de seguridad de la información tendrá que trabajar en estrategias de mitigación de riesgos en vez de gastar todo su tiempo en el desarrollo de las políticas de seguridad y la aplicación de ellos. La alta dirección debe asegurarse de que el equipo de seguridad de la información obtenga un grado de visibilidad respecto a todas las funciones del negocio. Lo anterior se logra mediante el reconocimiento de importancia fundamental y prioritario para la organización.
La prioridad del equipo de seguridad de la información es identificar las áreas de bajo y alto riesgo en la organización. Los marcos de riesgo deben alinearse estrechamente con la gestión del riesgo empresarial (ERM) y portfolios disponibles.
Dicho lineamiento ayuda a evitar ambigüedades que pueden surgir cuando hay conflictos entre estrategias específicas de gestión de riesgo, de seguridad de información y de proyectos de continuidad de negocios.
Mitigando el riesgo Operacional
Se deben establecer en todas las áreas funcionales de una organización una adecuada segregación de funciones (Adequate segregation of duties [SOD]) y las responsabilidades de control. Para ello no siempre es necesario contar con un profesional muy técnico o experimentado para realizar tareas básicas. Por ejemplo, el acceso de usuarios puede ser realizado por un miembro entrenado en las operaciones de seguridad del SOC. Es recomendado entrenar a los miembros del equipo de operaciones, que pueden ayudar en la organización y mejorar el plan de continuidad de negocio. Las medianas empresas utilizan un modelo híbrido de externalización de sus operaciones de seguridad para mantener equipos pequeños de planta para controlar la ejecución del presupuesto.
La externalización de las operaciones de seguridad es una buena opción para organizaciones de tamaño medio, ya que les ayuda a reducir los problemas de mantención en un escenario que siempre debe funcionar.
El equipo de contratación externa puede tener un considerable conocimiento especializado en operaciones de seguridad adquirida a partir de su trabajo con múltiples clientes (conocimiento que no está en el equipo interno). Desde luego, la externalización no está exenta de riesgos. Siempre existe la posibilidad de fuga de alguna información a través de una red, la arquitectura de la seguridad de una empresa o las vulnerabilidades propias de la arquitectura. Pero esta preocupación puede ser abordados a través de instrumentos tales como acuerdos de no divulgación (NDA).
Para las grandes organizaciones, en especial para el gobierno o industria financiera, siempre es mejor tener un equipo interno para las operaciones primarias de seguridad, debido a que el grado de confidencialidad de los datos involucrados es relativamente alto. El tiempo de respuesta ante incidentes de los equipos internos, siempre parece ser mejor que sus homólogos externos separados geográficamente. En los países donde existen sistemas legales débiles, se deben utilizar criterios estrictos para evaluar los contratos de soporte para la contratación externa o proveedores de servicios de seguridad.
Los términos, las condiciones y las responsabilidades mencionadas en el contrato deben ser completamente explicitas y viables por ambas partes. Cualquier disputa que surja durante la vigencia de un contrato puede aumentar el riesgo de la organización que externaliza las funciones claves de seguridad. En tales casos las estrategias deben implementarse de forma eficaz para mantener la integridad de la seguridad de la información entre el equipo interno y el proveedor. Las capacidades técnicas del proveedor deben ser evaluadas antes de la contratación. Esto puede incluir una revisión de los estados financieros, experiencias en otros clientes y la reputación de la marca.
Algunos vendedores resaltan el perfil de sus equipos durante las negociaciones, pero no será necesariamente el equipo que estará disponible una vez adjudicado un proyecto. Para ello se recomienda tener una estrategia de salida y un plan de copia de seguridad si alguno de los proveedores o socios no cumple con las expectativas establecidas, lo que elevaría abruptamente los niveles de riesgo.
Conclusión
La experiencia cuando se trabaja con un sector de la defensa, como en los Emiratos Árabes Unidos, la importancia y facilidad de tener una buena estructura de sistema de seguridad de la información se hizo evidente.
Los pilares fundamentales de la seguridad de la información fueron colocados por el gobierno, y la adopción por la empresa fue extremamente fácil. Pero en los países en desarrollo como la India, muchas de las empresas se esfuerzan por mantener un completo y funcional ecosistema de seguridad de la información. Las expectativas y funciones encomendadas a los CIOs y a los CISOs son bastante altas. En tales casos, el CISO puede tomar el control de actuar como el integrador principal de la seguridad de la información, ya que es el papel es el más adecuado para asegurar que los objetivos de la seguridad están bien alineados con las metas de la empresa. A su vez, se debe crear un fuerte ecosistema de seguridad.
Combinado con un conocimiento detallado de la arquitectura subyacente, el CISO puede entrenar al equipo de seguridad de la información para responder mejor por la seguridad de la información como también ante el riesgo cibernético.
Devassy Jose Tharakan, CISA, ISO 27001 LA, ITIL, PMP
Tiene más de ocho años de experiencia en seguridad de la infraestructura de TI. Trabaja en una entidad financiera líder en la India como director de seguridad de la información. En este cargo, él es responsable de la arquitectura de seguridad de la empresa y los proyectos para contrarrestar los ataques de seguridad cibernética y dirige la práctica de auditoría de seguridad. En su trabajo anterior con el elenco Emirates Group como director del grupo de TI, que estaba activa en diversos foros de seguridad de la infraestructura de conocimiento en Emiratos Árabes Unidos. Su pasión es ayudar a que las empresas adoptan la estrategia de seguridad adecuado para una mejor gestión del riesgo y una mayor eficiencia. Él ha ayudado a muchas empresas de banca, seguros, venta al por menor y de defensa a rediseñar su infraestructura de seguridad y adoptar estrategias de seguridad de la información.