En este nuevo mundo globalizado por Internet y las tecnologías de información, las amenazas y ataques se han vuelto más comunes y de mayor preocupación para las organizaciones. Cuántas veces hemos escuchado sobre robos de información, terrorismo informático, sabotaje, fraude y vandalismo, que en muchos casos son perpetrados por personal interno de la organización o por errores provocados por falta de controles o por procesos mal definidos.
Por ello es importante entender que la adquisición de sistemas de seguridad tales como controles de acceso, detectores de intrusos y firewalls, entre otros, ya no es suficiente. En estos tiempos es necesario adoptar soluciones que nos permitan proteger los huecos de seguridad que las tecnologías antes mencionadas no llegan a cubrir. Estas soluciones deben contemplar no solo a los “fierros” de la seguridad, sino involucrar aspectos tales como un adecuado análisis de riesgos, asignación de roles y responsabilidades y marcos normativos. Aspectos que permitirán a una organización poder hacer gala de nombrarse “segura”.
Debido a estos nuevo riesgos a los que está expuesta la información, surgió la necesidad en una institución gubernamental de llevar a cabo un proyecto que tomara en consideración no solo a los “fierros” como lo mencionamos anteriormente, sino que también tomara en consideración al personal y sus procesos, lo que dio origen a la implementación de un Modelo de Gobierno de Seguridad de la Información (MGSI). Para lograr este requerimiento, la institución convocó a través de una licitación y eligió a Scitum como el proveedor que los apoyaría en la implementación de un MGSI.
Solución
Dado que el personal encargado de la seguridad de la información dentro de esta institución no tenia establecidas reglas claras de normatividad, no estaban bien definidos los roles y las responsabilidades, no tenia implementado una metodología de administración de riesgos, ni controles para medir que las acciones tomadas se estuvieran llevando a cabo como lo planeado, Scitum se dio a la tarea de comenzar con la definición del MGSI. De acuerdo al análisis realizado previamente de la institución, la solución debía ser integrada por componentes específicos que, alineados con los objetivos del negocio y con los objetivos de TI, determinaran los lineamientos a seguir para mitigar los riesgos de la institución. El objetivo general era establecer las directrices para planear, implementar, operar, monitorear, revisar y mejorar la seguridad de la información.
Para la definición del MGSI se tomaron en consideración los siguientes componentes, los cuales explicaré brevemente:
Administración de riesgos. En el contexto de seguridad de la información, es un proceso interactivo e iterativo para la evaluación y manejo de los riesgos y sus impactos, con el propósito de lograr los niveles de confidencialidad, integridad y disponibilidad óptimos para la institución. Este proceso debe continuamente contestar a las preguntas ¿qué riesgos corre la información de nuestro negocio? ¿qué probabilidad existe de que se materialicen? ¿qué impacto tendrían en la operación? ¿podemos vivir con este riesgo? y si no: ¿qué debemos hacer para mitigarlo?
Roles y responsabilidades. En este proceso se definen los grupos de trabajo y roles específicos para cumplir con las responsabilidades de seguridad de la información. Aquí se responde a la crucial pregunta ¿quién hace qué?, así como a todo aquello que nunca nos hemos atrevido a preguntar: ¿qué me toca? ¿por qué a mi área? ¿quién será el CISO (Chief Information Security Officer)? ¿qué otros roles existen? ¿qué significa ser dueño de la información? ¿qué implica ser custodio de la información?, etc.
Normatividad de seguridad. En este proceso se define el conjunto de políticas, estándares, guías y procedimientos que permiten tener un control de la operación del negocio. La idea es saber cómo debemos cuidar la información, y nos permite también dar respuestas claras a los usuarios cuando preguntan ¿para qué sirve que cambie mi contraseña cada 3 meses? ¿por qué debo bloquear mi máquina cuando abandono mi lugar? ¿qué pasa si comparto mi contraseña aunque sea “por un día”?. Además, la normatividad dictará qué pasa si alguien no se alinea con las políticas.
Tablero de control. El tablero establece y monitorea los indicadores de cumplimiento de los objetivos de seguridad, por ejemplo, el porcentaje de áreas de negocio que han realizado análisis de riesgos de seguridad en el año, el nivel de vulnerabilidad de los sistemas críticos de información, el porcentaje de empleados con responsabilidades de seguridad que ya han recibido un entrenamiento formal en seguridad de la información, la capacidad de respuesta a incidentes, etc. En esta actividad respondemos a la pregunta ¿sabemos que se están haciendo bien las cosas?
Una vez terminado el proceso de definición y desarrollo del MGSI, el cual incluyó los componentes antes mencionados, la segunda fase del proyecto fue llevar a cabo la implementación del MGSI, que involucró la difusión de las políticas de seguridad desarrolladas, el nombrar las nuevas actividades del personal de la institución con base en lo definido en el documento de roles y responsabilidades, haber llevado el análisis de riesgos previo para identificar las área de oportunidad y, al tener estas actividades implementadas, darles seguimiento por medio del tablero de control.
Esta segunda parte del proyecto fue de gran importancia, ya que no sirve de nada desarrollar y definir el MGSI si no se implementa y el personal involucrado no conoce cuáles son sus nuevas funciones y como las van a llevar a cabo. Sin el apoyo de la institución en general no es posible que el MGSI funcione adecuadamente.
Con estas acciones se logró cumplir con el objetivo de implementar un MGSI dentro de esta institución gubernamental, el cual permitió ver la seguridad como una solución global y recurrente.
Beneficios
Gracias a la implementación del MGSI, la institución logró los siguientes beneficios:
Toma de decisiones acertadas en materia de seguridad gracias a la información actualizada de lo que está pasando: los riesgos, los avances, indicadores de seguridad, etc.
Reacción oportuna y ágil ante incidentes de seguridad gracias a la clara definición de roles y responsabilidades, minimizando así los impactos de un ataque.
Mayor conciencia de la gente dentro de la institución acerca de la importancia de la seguridad, evitando fugas de información por ataques de ingeniería social.
Aumento en el grado de confianza de los clientes y asociados de la institución al asegurar que la información se encuentra gobernada por un modelo que permanentemente vigila y mitiga los riesgos.
Disminución de los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.
Conclusión
Sin duda alguna la implementación del Modelo de Gobierno de Seguridad de la Información (MGSI) fue un éxito tanto para Scitum como para esta institución gubernamental, ya que éste se adoptó como una manera de ver la seguridad con un enfoque integral que considerara infraestructura, gente y procesos.