Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Fundamentos de gestión de Seguridad de la Información SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN E-BOOK GRATUITO t.me/isotoolsexcellencewebinar 02 Fundamentos de Gestión de Seguridad de la Información ÍN D IC E Introducción ..........................................................................................................................................04Gobernanza, políticas y objetivos de seguridad de la información .......................05 · La SI y sus objetivos ......................................................................................................................07 · Una política que construya ......................................................................................................08 Planificación y recursos necesarios en seguridad de la información ....................09 · ¿Es necesario planificar en el área de seguridad de la información? ...................10 · ¿En qué punto interviene la estrategia? ..............................................................................11 · Cuestión de recursos ..................................................................................................................12 Ingeniería en seguridad de la información, definiendo requisitos técnicos ......13 Cumplimiento legal en materia de SI. ¿Qué debe tener en cuenta? ......................17 · Requisitos de diferentes tipos .................................................................................................19 · Otros aspectos por considerar ...............................................................................................19 Disfrute con nuestros E-BOOKS 04 Fundamentos de Gestión de Seguridad de la Información Introducción Hoy en día es pertinente afirmar que nos encontramos inmersos en la sociedad de la información. Parte de la evolución de una sociedad, precisamente, pasa por compartir información entre sus miembros. La información que se puede transmitir entre los distintos componentes de la sociedad puede ser de diferentes clases: puede ser personal o de empresas. Cuando hacemos referencia a información de empresas se pone el foco en el que a día de hoy se considera el activo más importante de una compañía. Al nombrar la información de empresas se hace referencia a aquella perteneciente a clientes, información de facturación, el código fuente, la información core de negocio o documentación como plantillas y procedimientos de actuación. Sin este activo tan valioso, independientemente de su tamaño, una empresa no podría funcionar. De manera paralela, cuando se habla de seguridad de la información, normalmente el foco se pone en el ámbito empresarial. No se puede perder de vista que toda información lleva asociados unos riesgos. En este sentido puede definirse el riesgo como un efecto de incertidumbre sobre un objetivo. Los riesgos pueden materializarse en amenazas que afecten a la seguridad de la información de una empresa u organización. 05 Fundamentos de Gestión de Seguridad de la Información 01 Gobernanza, políticas y objetivos de seguridad de la información Los datos sobre la ciberseguridad, en general, y la seguridad de la información, en particular, brotan como manantiales en forma de secretos de estado revelados. Piratas “buenos” que ayudan a las organizaciones a protegerse contra el crimen, normas ISO, simposios, seminarios web, libros, expertos y gurús con cifras recién analizadas. ¿Esto se debe a que el tema está de moda, a paranoia generalizada o a la tecnología que avanza desbocada, mientras las leyes van quedando atrás? Aparentemente, no es tan fácil asimilar que el mundo está interconectado, que los datos valen oro y que muchas vidas y negocios pueden verse negativamente alcanzadas si no logramos mantener la confidencialidad, integridad y disponibilidad de la información. Como líder de una organización, ¿qué gano al invertir tiempo, dinero y esfuerzos en seguridad de la información? Primero que todo, aclaremos que nuestro gobierno organizacional requiere entender, supervisar y apoyar todo lo concerniente a este tema, además de pautar un programa contentivo de prioridades y metas que sean coherentes con la misión de la empresa. Este compromiso debe reflejarse en la aprobación de recursos y el apoyo sostenido para lograr el éxito del programa. Un liderazgo fuerte es la base para construir un sistema de gestión de la seguridad de la información (SGSI) robusto y eficaz. Esto incluye una participación visible, acción, comunicación constante y privilegiar la seguridad de la información (SI) en la agenda como un tema destacado. Se espera que el gobierno delegue públicamente responsabilidades y autoridades que se encargará de la SI. 06 Fundamentos de Gestión de Seguridad de la Información La seguridad de la información es más importante que nunca El éxito de una compañía es inherente a trazarse objetivos de seguridad de la información y cumplirlos. ¿Por qué? Porque la consecución de las metas planteadas depende en gran medida de la información que emana la compañía, de clientes, proveedores y demás partes interesadas, además de la tecnología. Entonces, ¿cómo no sería importante proteger tal información? ¡Definitivamente es prioritario! La seguridad de la información tiene que ser parte de la estrategia organizacional y de los procesos y operaciones diarias, pues esto favorece a la continuidad del negocio aún en situaciones poco favorables como desastres naturales y crisis de diversas índoles. La consecuencia inevitable de esto es lograr la confianza de clientes y colaboradores, quienes percibirán que nuestros esfuerzos se sostienen en la protección de la información sensible y que los resguardamos responsablemente. Cuando empleamos nuestros recursos en un SGSI, podemos hablar de que nuestra inversión rinde frutos y de que la gestión financiera llevada a cabo es eficaz, puesto que no se dedican ni tiempo ni dinero en reparar desastres como la fuga de informaciones y demás incidentes indeseados. En estos tiempos de e-commerce efervescente, la seguridad de la información potencia la capacidad de brindar productos y servicios de forma eficaz, en vista de que los datos confidenciales resultan salvaguardados y se cumplirían los requisitos de los clientes más exigentes a la vez que se cuida la información propia. En última instancia, es relevante señalar que la responsabilidad de crear una política de SI y crear y cumplir objetivos de SI pertenece a los líderes, es decir, al gobierno corporativo. En ellos recae la tarea de garantizar la SI para cumplir con la misión de la organización y aumentar el valor para la empresa. 07 Fundamentos de Gestión de Seguridad de la Información La SI y sus objetivos ¿Conoce en qué punto está la seguridad de la información en su organización y dónde le gustaría estar? Una forma efectiva de hacerlo puede ser evaluando si se cumplen -y hasta qué punto– las leyes sobre seguridad, reglamentos y normas como la ISO/IEC 27001. También es imprescindible conocer cuáles son los riesgos y amenazas que acechan a la empresa, y en función de eso trazar objetivos que apunten a lograr la confidencialidad, integridad y disponibilidad de la información. De cada objetivo deben desprenderse controles capaces de gestionar los riesgos. ¿Cuál podría ser el objetivo más relevante? Aunque parezca obvio, lo vital es proteger a la organización y su capacidad para llevar a cabo su misión. No exageramos al afirmar que la pérdida de conectividad a internet, la denegación de servicios, apagones, incendios o terremotos pueden atentar contra la disponibilidad de información clave, y así sería imposible cumplir con la misión de la compañía. Los objetivos no son inamovibles, sino que varían o se actualizan en caso de que la misión de la empresa cambie, existan nuevos requisitos operativos o surjan otros riesgos. Los cambios muchas veces pueden ser impredecibles y necesitamosser tan flexibles como podamos. 08 Fundamentos de Gestión de Seguridad de la Información Una política que construya Las reglas de seguridad que rigen el comportamiento esperado de una entidad, es lo que se conoce como política de SI. Con este texto damos a conocer las directivas, reglamentos, normas y prácticas que señalan la forma en que la empresa gestiona, protege, almacena y distribuye la información. No es fácil diseñar un corpus como el que indicamos, pero es tarea de la gerencia decidir hacia dónde se destinarán los recursos, indicarles a los empleados cómo deben comportarse con relación a la SI y qué se espera de ellos, jerarquizar objetivos y llevar todo esto a la práctica. Para apoyar su labor, le indicamos qué debería tener una política de seguridad de la información: • Propósito. En este apartado se describen las metas que se desean alcanzar y necesidades relacionadas con la seguridad, como la integridad, la disponibilidad y la confidencialidad de la información. • Alcance. Las políticas no deben dejar cabos sueltos en cuanto a qué equipos, procesos y/o sistemas se prevé proteger. • Responsabilidades. Los involucrados requieren ser identificados con nombres y apellidos para que las gestiones se hagan de forma efectiva y conozcamos quién se encargará de cada cosa. • Sanciones. Para que no quepan dudas de que el tema es serio, es necesario que existan acciones disciplinarias y que sean aplicadas a quienes vulneren la política. 09 Fundamentos de Gestión de Seguridad de la Información 02 Planificación y recursos necesarios en seguridad de la información La planificación es el paso inicial que damos en una organización para poder enfilar la estrategia de defensa de la empresa. Nos permite enfocar esfuerzos en lo verdaderamente importante, ayuda a establecer pautas para usar adecuadamente los recursos y saber si se está logrando lo que se desea o no, gracias a un posterior seguimiento. El proceso de planificación estratégica puede recaer en la máxima autoridad de la compañía o en un equipo designado. Dentro de sus funciones están: • Diagnosticar el entorno nacional, sectorial o institucional, que incluya el entendimiento estratégico de la arquitectura empresarial, dinámica organizacional y análisis del desempeño estratégico. • Identificar las metas u objetivos a alcanzar. • Formular estrategias para lograr las metas. • Organizar y/o crear los medios necesarios para concretar la consecución de los objetivos planteados. • Desarrollar una estrategia alineada con los objetivos estratégicos. 10 Fundamentos de Gestión de Seguridad de la Información • Implementar, dirigir y supervisar todos los pasos en su secuencia adecuada. • Definir políticas e iniciativas estratégicas de TI y del portafolio de proyectos. • Apoyar el intercambio de información entre los funcionarios encargados de la autorización y otros líderes de alto nivel dentro de la organización. • Supervisar las actividades relacionadas con la planificación estratégica en toda la organización. • Incluir políticas, procesos, recursos, gestión del talento y proveedores, compras, calidad, instancias de decisión, estructura organizacional e indicadores de TI. Asegurar que las necesidades de recursos materiales, tecnológicos, financieros y humanos para la planificación se cubren de manera adecuada incrementan la probabilidad de la materialización de éxito de lo planeado. ¿Es necesario planificar en el área de seguridad de la información? ¡Por supuesto que sí! La planificación es una función básica de gestión que implica la formulación de uno o más planes detallados para lograr un equilibrio óptimo de necesidades o demandas con los recursos disponibles. Además, la función de la planificación en SI: • Ayuda a asegurar que una organización siga siendo relevante y responda a las necesidades de SI de su comunidad, contribuyendo a la estabilidad y el crecimiento de la organización al garantizar la disponibilidad, confidencialidad y disponibilidad de la información. 11 Fundamentos de Gestión de Seguridad de la Información • Proporciona una base para monitorear el progreso y evaluar los resultados e impactos. • Facilita el desarrollo de nuevos programas. • Permite a una organización mirar hacia el futuro de manera ordenada y sistemática. Desde una perspectiva de gobernanza, permite que la junta establezca políticas y metas para guiar a la organización y proporciona un enfoque claro al director ejecutivo y al personal para la implementación del programa y la gestión de la empresa. ¿En qué punto interviene la estrategia? La gestión estratégica es la colección integral de actividades y procesos en curso que las organizaciones utilizan para coordinar y alinear sistemáticamente los recursos y las acciones con la misión, la visión y la estrategia en toda la organización. Las actividades de gestión estratégica transforman el plan estático en un sistema que proporciona retroalimentación del desempeño estratégico para la toma de decisiones y permite que este evolucione y crezca a medida que cambian los requisitos y otras circunstancias. La estrategia es importante porque los recursos disponibles para lograr los objetivos suelen ser limitados. La estrategia, generalmente, implica establecer metas, determinar acciones para lograrlas y movilizar recursos para ejecutar las acciones. Una estrategia describe cómo se lograrán los fines o metas a través de los medios o recursos. Esto generalmente se encarga de determinar la estrategia. La estrategia puede ser intencionada o puede surgir como un patrón de actividad a medida que la organización se adapta a su entorno o compite. Implica actividades como la planificación estratégica y el pensamiento estratégico. 12 Fundamentos de Gestión de Seguridad de la Información Cuestión de recursos La estrategia es la forma en que una empresa define su negocio y vincula los únicos recursos que realmente importan en la economía actual: el conocimiento y las relaciones o las competencias y los clientes de una organización. Si nos ceñimos al terreno de lo concreto, señalaremos que los recursos necesarios en seguridad de la información son: materiales (infraestructura, escritorios, oficinas y herramientas, entre otros), tecnológicos (ordenadores y demás dispositivos, software, internet, bases de datos y monitores, por ejemplo) financieros (divisas en monedas extranjeras, dinero, créditos bancarios y depósitos) y humanos. La gerencia asigna continuamente los recursos a las iniciativas que deben priorizarse. Consideramos que el presupuesto debe estar en sintonía con los riesgos a los que se expone la organización y con las características de la tecnología. Es muy importante disponer de personas dentro de la empresa que atiendan o gestionen el sistema de gestión de seguridad de la información, puesto que esos deberes requieren una dedicación considerable. 13 Fundamentos de Gestión de Seguridad de la Información 03 Ingeniería en seguridad de la información, definiendo requisitos técnicos La información circula a grandes velocidades a través de todos los dispositivos de tecnología. Detrás de los programas, servidores y equipos en que las organizaciones almacenan datos sobre empleados, clientes, proveedores, fórmulas de productos y directrices para prestar servicios, existen profesionales que hacen todo lo posible por resguardar los datos. Nos referimos a los ingenieros en seguridad de la información, quienes se ocupan, entre otras cosas, de establecer las políticas, normas y protocolos para gestionar los riesgos de brechas de información en las organizaciones. Ellos se esfuerzan para abordar muchos aspectos de la seguridad de la información en decenas de niveles de detalle. Abordan aspectos tecnológicos y operativos, y se esmeran en llevar a cabo buenas prácticas organizacionales. En pocas palabras, se hacen cargo de buena parte de esta nueva forma de hacernegocios y de relacionarse. Para estandarizar sus quehaceres y conferir eficacia a la labor ingenieril, los expertos crearon los principios de seguridad de la información, con el fin cumplir con requisitos técnicos, operativos y garantizar las propiedades de la información. Con el propósito de crear un sistema más seguro, también se consideran asuntos no técnicos como políticas, procedimientos operativos, educación y formación de usuarios. 14 Fundamentos de Gestión de Seguridad de la Información Los principios sirven como guía para los usuarios, al desarrollar y evaluar requisitos funcionales; diseñadores e ingenieros, al diseñar, implementar o modificar un sistema de información; especialistas en TI, durante todas las fases del ciclo de vida del sistema; gerentes de programa y oficiales de seguridad del sistema de información. Aunque no todos los principios pueden aplicarse a todos los sistemas, es importante considerarlos cuidadosamente a lo largo del ciclo de vida de cada sistema. Los principios son los siguientes: • Establecer una sólida política de seguridad como base para el diseño del sistema de gestión. La política de seguridad comienza con el compromiso básico sobre seguridad de la información de la organización, formulada como una declaración de política general. Luego, la política se aplica a todos los aspectos del diseño del sistema o solución de seguridad. La política identifica objetivos de seguridad (como confidencialidad, integridad, disponibilidad y rendición de cuentas, entre otros) que el sistema debe respaldar, y estos objetivos guían los procedimientos, estándares y controles utilizados en la arquitectura de seguridad de TI. La política también debe requerir la definición de activos críticos, las amenazas percibidas y funciones y responsabilidades relacionadas con la seguridad. • Tratar la seguridad como parte integral del diseño general del sistema. La seguridad debe ser considerada en el diseño del sistema de información. La experiencia ha demostrado que es difícil y costoso implementar medidas de 15 Fundamentos de Gestión de Seguridad de la Información seguridad de manera adecuada y exitosa después de que se ha desarrollado el sistema, por lo que debe integrarse completamente en el proceso del ciclo de vida de este. Ello incluye establecer políticas de seguridad, comprender los requisitos de seguridad resultantes, participar en la evaluación de productos de seguridad, en la ingeniería, diseño, implementación y disposición del sistema. • Delinear claramente los límites de seguridad físicos y lógicos regidos por políticas de seguridad asociadas. La tecnología de la información existe en ubicaciones físicas y lógicas, y existen límites entre estos lugares. Una comprensión de lo que debe protegerse de factores externos pueden ayudar a garantizar que se apliquen las medidas de protección adecuadas donde sean más eficaces. A veces, un límite se define por las personas, la información y la tecnología de la información asociada con una ubicación física. Pero esto ignora la realidad de que, dentro de un solo lugar, pueden existir diferentes políticas de seguridad, algunas que cubren información de acceso público y algunas abarcan información confidencial no clasificada. Para complicar aún más el asunto, muchas veces una sola máquina o el servidor puede albergar información confidencial no clasificada y de acceso público. Como resultado, se pueden aplicar múltiples políticas de seguridad a una sola máquina o dentro de un solo sistema. Por lo tanto, al desarrollar un sistema de información, los límites de seguridad deben ser considerados y comunicados en la documentación relevante del sistema y en las políticas de seguridad. • Reducir el riesgo a un nivel aceptable. El riesgo se define como la combinación de la probabilidad de que una amenaza particular explote intencionalmente o se active involuntariamente, causando un impacto adverso en las operaciones de la organización, activos, o individuos. Anteriormente, la evitación de riesgos era un objetivo común de seguridad de TI. Eso cambió a medida que se entendió mejor la naturaleza del riesgo. Hoy en día se reconoce que la eliminación de todos los riesgos no es rentable. Un análisis de costo-beneficio debe llevarse a cabo para cada control propuesto, porque puede que el sistema no justifique los costos directos e indirectos. 16 Fundamentos de Gestión de Seguridad de la Información Los beneficios incluyen más que solo prevención de pérdida de dinero. Por ejemplo, los controles pueden ser esenciales para mantener la confianza pública. Los costos directos incluyen el costo de comprar e instalar una determinada tecnología. Los costos indirectos incluyen un menor rendimiento del sistema y capacitación adicional. La meta es mejorar las capacidades de la misión/negocio, mitigando su riesgo a un nivel aceptable. 17 Fundamentos de Gestión de Seguridad de la Información 04 Cumplimiento legal en materia de SI. ¿Qué debe tener en cuenta? Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los reglamentos y legislaciones en materia de seguridad de la información. Observar el entramado legal propicia una actitud transparente de la organización frente a diferentes partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad de la información, da un marco de referencia para verificar el cumplimiento de las regulaciones en materia de SI y apoya el mejor desempeño de la organización, entre otros. Además, los ciudadanos cada día son más conscientes de la necesidad de preservar la confidencialidad, integridad y disponibilidad de la información, por ello esperan que las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología. También esperan consumir productos y servicios que provengan de organizaciones capaces de cumplir con la ley. Para lograr el cumplimiento de los requisitos legales requerimos activar un proceso que comprende de varios pasos: • Identificar los requisitos legales. Necesitamos contar con una metodología establecida para poder identificar cada requisito. Es importante investigar las leyes y regulaciones emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales. 18 Fundamentos de Gestión de Seguridad de la Información • Establecer controles. ¿Ya los directivos y/o responsables identificaron toda la legislación aplicable a sus organizaciones para cumplir con los requisitos de su tipo de negocio? ¡Perfecto! Ahora es pertinente que se definan controles puntuales y se fijen responsabilidades individuales para cumplir estos requisitos. • Documentar controles. Los controles aplicables a los procesos, productos y servicios de la organización ameritan ser plasmados como información documentada. Hay que tener en cuenta que los requisitos pueden generar riesgos, cuando no sabemos cómo abordarlos o no se abordan oportunamente, y oportunidades, cuando se incorporan los requisitos legales a la línea de negocios como elementos diferenciadores, para la organización. • Incluir y determinar en el alcance del SGSI los aspectos legales de las actividades, productos y servicios que debemos controlar. • Demostrar capacidad y voluntad para cumplir los requisitos legales ante clientes internos y externos y partes interesadas. • Mejora continua. 19 Fundamentos de Gestión de Seguridad de la Información Requisitos de diferentes tipos Los requisitos legales se usan como entradas de proceso y su seguimiento se considera una salida de estos procesos. Por eso es imperativo tener en cuenta los cambios que se produzcan en la organización, en cuanto a procesos, productos y servicios,y las legislaciones que se modifiquen o entren en vigor. Con esto no nos referimos únicamente a la Constitución del país en que la empresa mantiene operaciones, Código Penal, leyes, normas y decretos. También cuentan las licencias u autorizaciones, orientaciones, órdenes, reglas, sentencias de cortes de justicia o tribunales administrativos, requisitos de las partes interesadas relacionados con sus propios SGSI y que deberíamos cumplir o adoptar, acuerdos con comunidades y organismos públicos o clientes, requisitos de socios o accionistas, principios o códigos de cumplimiento voluntarios, obligaciones contractuales, normas atinentes a la industria y/u organización. En Latinoamérica es moneda corriente el desfase entre las leyes en materia de seguridad de la información y el uso y manejo de información. Por lo tanto, hay delitos que no son reconocidos como tal y no son sancionados. En ese sentido es posible suscribir protocolos propios e implementar estándares internacionales como la norma ISO/IEC 27001. Es aconsejable, además, mantenerse atentos ante la promulgación de decretos y la creación de disposiciones emitidas por reguladores. Otros aspectos por considerar A la hora de pensar en el cumplimiento legal no podemos omitir la existencia de condiciones anormales y situaciones de emergencia, como las que supuso el SARS COVID. Tras la pandemia surgieron normativas para regular, entre otras cosas, el teletrabajo y el acceso a los datos sensibles. Incluso hubo debates éticos sobre qué tan conveniente era divulgar al círculo cercano cuando una persona resultara contagiada. 20 Fundamentos de Gestión de Seguridad de la Información En otro orden de ideas, destacamos la relevancia de la gestión de los procesos de SI internos y la identificación de aspectos de SI. Sin ello el cumplimiento legal no estaría completo, puesto que muchos de los requisitos están relacionados con aspectos de la seguridad de la información. Todos los requisitos deben ser tomados en cuenta cuando se establezca, implemente, mantenga y mejore continuamente el SGSI. Por último, consideramos que es imprescindible que desde la alta dirección se manifieste la firme voluntad de cumplir con los requisitos de SI en materia legal y recomendamos la estandarización, pues esta respalda los requisitos legales. La gestión de la Seguridad de la Información, más ágil que nunca El Software ISOTools para ISO 27001 puede convertirse en su mejor aliado en el interior de la organización. Con él reducirá los tiempos y costos dedicados a la implementación y mantenimiento de la ISO 27001:2013. Además, minimizará riesgos y evitará sanciones al simplificar la documentación y los registros. Si quiere ahorrar recursos gestionando únicamente los riesgos que realmente amenazan a su organización, solicite más información acerca de la herramienta tecnológica ISOTools sin ningún tipo de compromiso. QUIERO SABER MÁS SOBRE GESTIÓN EN S.I. CON ISOTOOLS https://www.isotools.org/software/riesgos-y-seguridad/iso-27001 t.me/isotoolsexcellencewebinar Introducción Gobernanza, políticas y objetivos de seguridad de la información La SI y sus objetivos Una política que construya Planificación y recursos necesarios en seguridad de la información ¿Es necesario planificar en el área de seguridad de la información? ¿En qué punto interviene la estrategia? Cuestión de recursos Ingeniería en seguridad de la información, definiendo requisitos técnicos Cumplimiento legal en materia de SI. ¿Qué debe tener en cuenta? Requisitos de diferentes tipos Otros aspectos por considerar isotools: org: Página 1: FB 2: Página 1: IG 2: Página 1: LNK 2: Página 1: YT 2: Página 1: Telegram 3: Página 1: Botón 5: Página 2: Página 4: Página 6: Página 8: Página 10: Página 12: Página 14: Página 16: Página 18: Página 20: Botón 4: Página 2: Página 4: Página 6: Página 8: Página 10: Página 12: Página 14: Página 16: Página 18: Página 20: Botón 23: Página 5: Página 7: Página 9: Página 11: Página 13: Página 15: Página 17: Página 19: Botón 22: Página 5: Página 7: Página 9: Página 11: Página 13: Página 15: Página 17: Página 19: Botón 25: Página 22: Botón 15: Página 23: FB 1: Página 23: IG 1: Página 23: LNK 1: Página 23: YT 1: Página 23: Botón 16: Página 23: Botón 17: Página 23: Telegram: Página 23:
Compartir