AÑO 7 - Nº 03 - MAR 11




PALABRAS DE CISO

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

Por Jeimy J. Cano
GECTI
Facultad de Derecho - Universidad de los Andes
Bogotá - COLOMBIA


¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Declaraciones de Diseño

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos. Las declaraciones sugeridas son:

  • La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.

  • La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).

  • El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.

  • Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.
 

Fuente: http://insecurityit.blogspot.com/

 

Envíanos tu comentario: contactos@infosecurityvip.com

 

EDICIONES ANTERIORES

FEBRERO 2011

La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay

Muchas empresas consultoras de seguridad se pusieron a analizar qué falló en la fuga de los 250.000 documentos secretos del Departamento de Estado (EEUU) y que están siendo publicados paulatinamente en Wikileaks.

Algunas consultoras dicen que no se implementaron herramientas de Prevención de Fuga de Información o DLP (Data Leak Prevention), otras dicen que no se cumplieron bien las políticas de seguridad, etc. pero es bien sabido que el Departamento de Estado, al igual que el Departamento de Defensa de los EEUU, gasta miles de millones de dólares anualmente implementando sistemas de seguridad para evitar que esto ocurra, por eso en mi opinión, uno puede tener las mejores políticas de seguridad, las mejores prácticas, implementar ISO 27001 o lo que uno quiera, pero siempre la principal vulnerabilidad van a ser las personas, principalmente los empleados descontentos.

Es muy difícil evitar la fuga de información de manos de los empleados (intencional o por descuido), porque la información, ya sea confidencial o no, sí o sí debe pasar por manos de los empleados, es una cuestión básica, de lo contrario no podría funcionar la misma, y al pasar los documentos por la mano de los empleados, estos pueden ser fotocopiados, impresos, enviados por correo, fotografiados con un celular, copiados a mano, o un sinfín de etcéteras más.

Aunque uno implemente herramientas de prevención de fuga de información (DLP), codificación de las fotocopiadoras, control de entrada y salida de las personas, etc. siempre está la manipulación de documentos impresos que ninguna herramienta puede controlar, y siempre va a ser posible introducir celulares con cámara o microcámaras con qué fotografiar los documentos confidenciales.

No nos olvidemos que el control de entrada y salida de las personas siempre lo hacen los guardias contratados, es decir seres humanos con necesidades sociales que con frecuencia se hacen amigos de los empleados, así que muchas veces el control no va a ser tan estricto como uno quisiera. Es muy fácil ser estricto con desconocidos, pero no con gente que uno conoce y ve a diario.

Conclusión: La principal vulnerabilidad en cualquier empresa, siempre van a seguir siendo las personas.


ENERO 2011

Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard

Disertante para Infosecurity Vip - Quito 2010

¿Por qué se generan los incidentes?

  • Crecimiento de la dependencia tecnológica.

  • No hay conciencia sobre la privacidad.

  • Amplia disponibilidad de herramientas.

  • Gran aumento de vulnerabilidades (según Cert en el 2009 se reportaron 8.000)

  • Oferta y demanda de información confidencial mas abierta.

  • Traslados de negocios con dinero real a Internet ( servicios financieros, juegos de azar, sitios de subastas, etc..)

¿Qué hacemos para detectar el incidente?. Hay varias vías por las que una organización detecta un incidente

  • Mediante Revisiones operativas: Revisiones de Eventos

  • Mediante algún reporte de un usuario.

  • Mediante terceras partes.

Pregúntese a usted mismo: ¿Qué datos importantes tiene?, ¿En dónde están localizados sus datos mas importantes?, ¿Cuáles son los puntos de acceso a sus datos mas importantes?, ¿Cómo esta protegido su punto de acceso?, ¿Quién tiene acceso a sus datos ?, ¿Cómo controla quien tiene acceso a sus datos mas importantes?

Requerimientos de Regulaciones:

[SOX/COBIT] El sistema de administración contempla el análisis de registros para la auditoría, permitiendo el seguimiento del incidente.

[PCI] Revise los registros de todos los componentes del sistema al menos una vez cada día.

[NIST Assessment] esta actividad implica el acceso y la modificación de los archivos confidenciales o críticos registrados, seguimiento e investigar posibles violaciones de seguridad.

[HIPAA] Registrar y analizar la actividad en los sistemas de información que contengan o utilicen la información electrónica de salud protegida, periódicamente revisar los registros del sistema de información.

[SCADA] Identificar los componentes del sistema que garantiza el registro. Determinar el nivel de los datos registrados para cada componente, establecer políticas de seguridad de manipulación y análisis de los archivos de registro.

Elementos en la Administración de Eventos de Seguridad:

Modelo de Administración de Eventos de Seguridad:

 

Sumario:

  • Desarrollo de una política corporativa en materia de los registros de actividad.

  • Cumplimiento de requerimiento legal.

  • Dotar de una visión global del estado de la seguridad que ayude en la toma de decisiones.

  • Reacción temprana ante incidentes de seguridad.

  • Definición de procedimientos de notificación y actuación según la alerta y activo afectado.

Fuente: InfosecurityVip.com


 

Copyright © 2010 I-SEC. Todos los derechos reservados
Política de privacidad