EL ÁREA DE SEGURIDAD INFORMÁTICA Lic. Julio C. Ardita (*) jardita@cybsec.com 6 de Enero de 2003 INFORMACIÓN CONFIDENCIAL INTRODUCCIÓN Este documento refleja los estándares a nivel internacional con referencia al armado de un área de seguridad informática. Incluye aspectos tales como la ubicación, composición y funciones de la misma dentro de una Empresa. La Empresas se apoyan cada vez más sobre sus sistemas informáticos y la seguridad informática es la respuesta para proteger los mismos de intrusiones informáticas que pongan en riesgo la operación de la Empresa. UBICACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA EN LA EMPRESA Uno de los temas principales es la ubicación del área de seguridad informática dentro del organigrama de la Empresa. Normalmente el área de seguridad informática se ubicaba dentro del área de Sistemas o Tecnología, ya que es un área que requiere y utiliza elementos de tecnologías informáticas (acceso a sistemas, alta/baja/modificación de passwords, etc). Esta ubicación no es la correcta debido a que el área de seguridad informática queda supeditada al área de Sistemas y pierde el poder que necesita para controlar los sistemas informáticos. Si el área de seguridad informática depende del área de Sistemas, siempre se producen problemas, debido a que normalmente los tiempos del área de Sistemas (lanzamiento de proyectos, puesta en producción de aplicaciones, etc) son cortos y cuando el área de seguridad informática comienza a agregar controles de seguridad a los proyectos, los atrasa y se produce el conflicto. La ubicación correcta del área de seguridad informática es cuando depende del Gerente General o directamente del directorio de la Empresa. A modo de ejemplo, en el siguiente gráfico se puede visualizar la ubicación correcta del área de seguridad informática: Página 2 INFORMACIÓN CONFIDENCIAL Esta ubicación es la correcta para que exista contraposición de intereses entre las distintas áreas. A modo de ejemplo, si hay que urgentemente poner en producción un nuevo sistema, seguridad informática tiene que tener el poder suficiente para poder parar el proyecto con todas las razones justificadas (si tiene problemas de seguridad críticos). Lo que hay que tener en cuenta es que el área de seguridad informática es una nueva área dentro de la Empresa que posee mucho poder, ya que debe ser la encargada de vigilar al resto de la Empresa. Es muy similar al área de auditoría dentro de una Empresa. Ciertas tareas altamente privilegiadas o sensibles deben ser separadas de otras tareas similares para minimizar el riesgo de abuso de privilegio y para maximizar la habilidad de los que tienen esas tareas de controlar las tareas de los otros. Este es el principio de segregación de tareas (también conocida como segregación de funciones). Para seguir este principio, los siguientes roles deben ser efectuados por distintos individuos o grupos: administración del acceso o control sobre los sistemas operativos, uso normal de los sistemas y aplicaciones, auditoría y management de la seguridad. COMPOSICIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA El área de seguridad informática está compuesta por recursos humanos. Página 3 INFORMACIÓN CONFIDENCIAL No existe una medida universal para determinar el tamaño del área de seguridad informática. Esto depende en gran medida del objetivo de la Empresa, es decir, si quiere dedicarle los recursos suficientes a esta área. Como promedio a nivel mundial, se calcula que por cada 250 personas dentro de una organización se necesita una persona de seguridad informática. Si una Empresa posee 2.000 empleados, el área de seguridad informática debería contar con 8 personas aproximadamente. A nivel Latinoamérica, el promedio es que cada 350 personas se está colocando un recurso humano en seguridad informática. Esto implica que si la Empresa posee 2000 empleados, el área de seguridad informática debería contar con entre 5 y 6 personas aproximadamente. La composición del área de seguridad informática ideal es la siguiente: A continuación figura una descripción de cada uno de los sectores que forman el área de seguridad informática: Jefe de Seguridad Informática: Es el responsable de mantener el área de seguridad informática. ABM Usuarios: Se dedica al alta/baja/modificación de usuarios, passwords dentro de los sistemas operativos y aplicaciones de toda la Empresa. Revisión, evaluación y mantenimiento: Se dedica a revisar la seguridad informática de la red de la Empresa, de los sistemas que se están utilizando, se Página 4 INFORMACIÓN CONFIDENCIAL encarga de realizar pruebas de productos de seguridad informática y del mantenimiento de la seguridad informática activa en todos los sectores. Participación en proyectos: Esta parte se dedica a participar en todos los proyectos de informática de la Empresa, para que desde el principio los mismos vayan contando con un diseño de los nuevos sistemas en un entorno seguro y se implementen de forma segura. A modo de ejemplo, para una organización que posee 2000 empleados, un área de seguridad informática modelo debería: § Contar con un Jefe o Responsable del área de seguridad informática. § Tener dos para el sector de ABM de Usuarios que se dediquen a la misma tarea de dar de alta/baja/modificar usuarios y passwords en todos los sistemas de la Empresa. § Haber por lo menos dos personas para el sector de Revisión. § Para el área de Proyectos se puede comenzar con una persona. Es importante también la cantidad de proyectos que se estén trabajando. Un factor para el éxito es la calidad de los recursos humanos, para lo cual se debe contar con personal que básicamente cumpla dos condiciones: § Ser confiable. § Tener profundos conocimientos técnicos. A esta área en particular se debe tratar de integrarla con personal que provenga desde dentro de la Empresa, siempre y cuando sea posible. FUNCIONES DEL ÁREA DE SEGURIDAD INFORMÁTICA La función principal del área de seguridad informática es proteger la Empresa contra posibles ataques informáticos que puedan poner en riesgo la operación normal de la Empresa. El Jefe de Seguridad Informática es el líder de todas las actividades relacionadas con la seguridad de la información. Es el responsable de proveer seguridad a la Empresa desde el punto de vista de la Seguridad de la Información. Página 5 INFORMACIÓN CONFIDENCIAL Debe coordinar todos los esfuerzos relacionados a la seguridad y reportar directamente al Gerente General. Es el responsable del área de seguridad informática. Las funciones del área de seguridad informática deberían ser: § Proteger los amenazas. § Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la información. § Mantener los usuarios, passwords y accesos a los sistemas por parte de los usuarios de la Empresa. § Desarrollar e implementar el Plan de Seguridad. § Asegurarse de que los aspectos relacionados con la seguridad sean considerados cuando se seleccionen los contratistas. § Monitorear día a día la implementación y el uso de los mecanismos de seguridad de la información. § Coordinar investigaciones de incidentes de seguridad informática. § Revisar los logs de auditoría y sistemas de detección de intrusiones. § Participar en los proyectos informáticos de la Empresa agregando todas las consideraciones de seguridad informática. sistemas informáticos de la Empresa ante posibles Julio César Ardita es fundador y Director de Investigación y Desarrollo de CYBSEC Security Systems desde 1996. CYBSEC es la primer consultora de seguridad informática de la Argentina y ofrece servicios profesionales a sus clientes en América Latina. © 2003 CYBSEC Security Systems Página 6