el área de seguridad informática

Anuncio
EL ÁREA DE SEGURIDAD INFORMÁTICA
Lic. Julio C. Ardita (*)
jardita@cybsec.com
6 de Enero de 2003
INFORMACIÓN CONFIDENCIAL
INTRODUCCIÓN
Este documento refleja los estándares a nivel internacional con referencia al
armado de un área de seguridad informática. Incluye aspectos tales como la
ubicación, composición y funciones de la misma dentro de una Empresa.
La Empresas se apoyan cada vez más sobre sus sistemas informáticos y la
seguridad informática es la respuesta para proteger los mismos de intrusiones
informáticas que pongan en riesgo la operación de la Empresa.
UBICACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA EN LA
EMPRESA
Uno de los temas principales es la ubicación del área de seguridad
informática dentro del organigrama de la Empresa.
Normalmente el área de seguridad informática se ubicaba dentro del área
de Sistemas o Tecnología, ya que es un área que requiere y utiliza elementos de
tecnologías informáticas (acceso a sistemas, alta/baja/modificación de passwords,
etc). Esta ubicación no es la correcta debido a que el área de seguridad
informática queda supeditada al área de Sistemas y pierde el poder que necesita
para controlar los sistemas informáticos.
Si el área de seguridad informática depende del área de Sistemas, siempre
se producen problemas, debido a que normalmente los tiempos del área de
Sistemas (lanzamiento de proyectos, puesta en producción de aplicaciones, etc)
son cortos y cuando el área de seguridad informática comienza a agregar
controles de seguridad a los proyectos, los atrasa y se produce el conflicto.
La ubicación correcta del área de seguridad informática es cuando depende
del Gerente General o directamente del directorio de la Empresa.
A modo de ejemplo, en el siguiente gráfico se puede visualizar la ubicación
correcta del área de seguridad informática:
Página 2
INFORMACIÓN CONFIDENCIAL
Esta ubicación es la correcta para que exista contraposición de intereses
entre las distintas áreas.
A modo de ejemplo, si hay que urgentemente poner en producción un
nuevo sistema, seguridad informática tiene que tener el poder suficiente para
poder parar el proyecto con todas las razones justificadas (si tiene problemas de
seguridad críticos).
Lo que hay que tener en cuenta es que el área de seguridad informática es
una nueva área dentro de la Empresa que posee mucho poder, ya que debe ser la
encargada de vigilar al resto de la Empresa. Es muy similar al área de auditoría
dentro de una Empresa.
Ciertas tareas altamente privilegiadas o sensibles deben ser separadas de
otras tareas similares para minimizar el riesgo de abuso de privilegio y para
maximizar la habilidad de los que tienen esas tareas de controlar las tareas de los
otros. Este es el principio de segregación de tareas (también conocida como
segregación de funciones).
Para seguir este principio, los siguientes roles deben ser efectuados por
distintos individuos o grupos: administración del acceso o control sobre los
sistemas operativos, uso normal de los sistemas y aplicaciones, auditoría y
management de la seguridad.
COMPOSICIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA
El área de seguridad informática está compuesta por recursos humanos.
Página 3
INFORMACIÓN CONFIDENCIAL
No existe una medida universal para determinar el tamaño del área de
seguridad informática. Esto depende en gran medida del objetivo de la Empresa,
es decir, si quiere dedicarle los recursos suficientes a esta área.
Como promedio a nivel mundial, se calcula que por cada 250 personas
dentro de una organización se necesita una persona de seguridad informática. Si
una Empresa posee 2.000 empleados, el área de seguridad informática debería
contar con 8 personas aproximadamente.
A nivel Latinoamérica, el promedio es que cada 350 personas se está
colocando un recurso humano en seguridad informática. Esto implica que si la
Empresa posee 2000 empleados, el área de seguridad informática debería contar
con entre 5 y 6 personas aproximadamente.
La composición del área de seguridad informática ideal es la siguiente:
A continuación figura una descripción de cada uno de los sectores que
forman el área de seguridad informática:
Jefe de Seguridad Informática: Es el responsable de mantener el área de
seguridad informática.
ABM Usuarios: Se dedica al alta/baja/modificación de usuarios, passwords dentro
de los sistemas operativos y aplicaciones de toda la Empresa.
Revisión, evaluación y mantenimiento: Se dedica a revisar la seguridad
informática de la red de la Empresa, de los sistemas que se están utilizando, se
Página 4
INFORMACIÓN CONFIDENCIAL
encarga de realizar pruebas de productos de seguridad informática y del
mantenimiento de la seguridad informática activa en todos los sectores.
Participación en proyectos: Esta parte se dedica a participar en todos los
proyectos de informática de la Empresa, para que desde el principio los mismos
vayan contando con un diseño de los nuevos sistemas en un entorno seguro y se
implementen de forma segura.
A modo de ejemplo, para una organización que posee 2000 empleados, un
área de seguridad informática modelo debería:
§
Contar con un Jefe o Responsable del área de seguridad informática.
§
Tener dos para el sector de ABM de Usuarios que se dediquen a la
misma tarea de dar de alta/baja/modificar usuarios y passwords en
todos los sistemas de la Empresa.
§
Haber por lo menos dos personas para el sector de Revisión.
§
Para el área de Proyectos se puede comenzar con una persona. Es
importante también la cantidad de proyectos que se estén trabajando.
Un factor para el éxito es la calidad de los recursos humanos, para lo cual
se debe contar con personal que básicamente cumpla dos condiciones:
§
Ser confiable.
§
Tener profundos conocimientos técnicos.
A esta área en particular se debe tratar de integrarla con personal que
provenga desde dentro de la Empresa, siempre y cuando sea posible.
FUNCIONES DEL ÁREA DE SEGURIDAD INFORMÁTICA
La función principal del área de seguridad informática es proteger la
Empresa contra posibles ataques informáticos que puedan poner en riesgo la
operación normal de la Empresa.
El Jefe de Seguridad Informática es el líder de todas las actividades
relacionadas con la seguridad de la información. Es el responsable de proveer
seguridad a la Empresa desde el punto de vista de la Seguridad de la Información.
Página 5
INFORMACIÓN CONFIDENCIAL
Debe coordinar todos los esfuerzos relacionados a la seguridad y reportar
directamente al Gerente General. Es el responsable del área de seguridad
informática.
Las funciones del área de seguridad informática deberían ser:
§
Proteger los
amenazas.
§
Desarrollar, promocionar y actualizar las políticas y estándares de
seguridad de la información.
§
Mantener los usuarios, passwords y accesos a los sistemas por parte de
los usuarios de la Empresa.
§
Desarrollar e implementar el Plan de Seguridad.
§
Asegurarse de que los aspectos relacionados con la seguridad sean
considerados cuando se seleccionen los contratistas.
§
Monitorear día a día la implementación y el uso de los mecanismos de
seguridad de la información.
§
Coordinar investigaciones de incidentes de seguridad informática.
§
Revisar los logs de auditoría y sistemas de detección de intrusiones.
§
Participar en los proyectos informáticos de la Empresa agregando todas
las consideraciones de seguridad informática.
sistemas
informáticos
de
la
Empresa
ante
posibles
Julio César Ardita es fundador y Director de Investigación y Desarrollo de CYBSEC Security Systems
desde 1996. CYBSEC es la primer consultora de seguridad informática de la Argentina y ofrece
servicios profesionales a sus clientes en América Latina.
© 2003 CYBSEC Security Systems
Página 6
Descargar