Muchas veces escuchamos hablar de seguridad de la información y seguridad informática indistintamente. Por una parte, la seguridad informática protege el sistema informático, tratando de asegurar la integridad y privacidad de la información que contiene. Por tanto, podríamos decir, que se trataría de implantar medidas técnicas que preservaran las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización, es decir, los hardware y software empleados por la organización.
La seguridad de la información va mucho más allá, puesto que intenta proveer de medidas de seguridad a otros medios donde se localice información como: impresos en papel, discos duros, e incluso medidas de seguridad respecto de las personas que la conocen.
Esta orientado no solo a preservar la información, sino además a la mejora de los procesos de negocio, añadiendo a las medidas técnicas, otras organizativas y legales, que permitan a la empresa asegurar con mayor solidez la confidencialidad, integridad y disponibilidad de su sistema de información.
Por tanto mientras la seguridad de la información integra toda la información independientemente del medio en que este, la seguridad informática únicamente atiende a la protección de las instalaciones informáticas y de la información en medios digitales.
Recordamos desde AUDEA, que la implantación de la UNE-ISO/IEC 27001 de seguridad de la información, además de reducir el impacto de los riesgos de amenazas, entre otros beneficios, mejora la planificación y gestión de la seguridad de la organización, establece garantías de continuidad del negocio en caso de contingencia, proporciona una imagen de prestigio frente a terceros y da cumplimiento de normativas nacionales como la LOPD, LPI, o LSSI
A primera vista "Seguridad Informática" y "Seguridad de la Información" pueden parecer exactamente lo mismo, sobre todo si se tiene en cuenta que el desarrollo y la evolución de la tecnología tiende hacia el modelo de "digitalizar" y "manejar" cualquier tipo de información mediante un sistema informático. No obstante, aunque están destinados a vivir en armonía y trabajar conjuntamente, cada uno de las áreas de Seguridad tiene objetivos y actividades diferentes.
La Seguridad Informática (IT Security) se describe como la distinción táctica y operacional de la Seguridad, mientras la Seguridad de la Información (Information Security) sería la línea estratégica de la Seguridad.
Teniendo en cuenta la definición de la Seguridad Informática, esta disciplina se encargaría de las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que—articulados con prácticas de gobierno de tecnología de información—establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo. [Jeimy J. Cano, Ph.D., CFE.]
IT Security sería la disciplina que se encargaría de llevar a cabo las soluciones técnicas de protección de la información (los activos).
En el otro lado, la Seguridad de la Información es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de la información.[Jeimy J. Cano, Ph.D., CFE.]
Information Security sería la disciplina que encargaría de proporcionar evaluar el riesgos y las amenazas, trazar el plan de acción y adecuación para minimizar los riesgos, bajo normativa o buenas practicas con el objetivo de asegurar la confidencialidad, integridad y disponibilidad en el manejo de la información (activos).
IT Security vs Information Security
La Seguridad de la Información es la disciplina que se encarga de garantizar la confidencialidad, integridad y disponibilidad de la información. Para alcanzar el objetivo se apoya en la Seguridad Informática (que estaría gobernada por las directrices de la Seguridad de la Información), es decir, a pesar de ser disciplinas diferentes, la una no puede "ir" sin la otra. De modo que la Seguridad de la Información será la encargada de "regular" y establecer las pautas a seguir para la protección de la información.
Es habitual que la Seguridad de la Información se apoye en una Política de Seguridad que se desarrolla mediante la elaboración de un Plan Director de Seguridad. La Dirección (de la Organización / Empresa) será la encargada de marcar las líneas de actuación (estrategia) en materia de Seguridad, y mediante el Plan Director determinar las medidas tanto técnicas como procedimentales (Seguridad como Proceso) que garantice los objetivos marcados por la Política de Seguridad.
Las medidas técnicas (tácticas y operacionales) serán llevadas a cabo por el equipo de Seguridad Informática, --- Administradores de Sistemas y Seguridad roles de Seguridad hablaremos en otra ocasión ---, que implementaran las medidas necesarias para el cumplimiento de la Política de Seguridad y el Análisis de Riesgos en el que se debería basar la Política.
Resumiendo:
Podríamos decir que la Seguridad Informática (IT Security) es la parte operativa de la Seguridad, es decir, las medidas técnicas que aseguran la Seguridad de la Información.
En muchas organizaciones se nota una confusión a la hora de asignar o distinguir las funciones que debe cumplir un área de Seguridad Informática versus el área de Seguridad de la Información. En algunas de ellas, ni siquiera existen como áreas independientes.
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
###############################################################################################################################
Diseño e implementación de un S.G.S.I. ISO 27001
La solución de Diseño e Implantación de Sistemas de Gestión de Seguridad de la Información, rompe con la antigua visión de actuar de facto ante la seguridad, esto es, tener el mejor firewall del mercado por tenerlo o disponer un determinado antivirus porque hay que tenerlo. AGEDUM enfoca su solución de seguridad hacia la gestión. Alinea la Gestión de la Seguridad de la Información con los objetivos de negocio, optimizando las inversiones realizadas en controles o salvaguardas que protejan los activos.
Para ello, utilizamos como norma guía la ISO 27001:2005, la cual nos ayuda de forma solvente a enfrentarnos a los retos a los que nos somete el propio entorno. ISO 27001:2005 es reconocida como una de las mejores prácticas a nivel mundial para gestionar la seguridad de la información, y es contemplada como su solución por múltiples organizaciones de distinto tamaño, independientemente de su ubicación geográfica.
Beneficios que se alcanzan
Nuestro equipo de profesionales
AGEDUM dispone de profesionales con contratada experiencia en la implantación de este tipo de soluciones profesionales. Nuestros consultores, vienen trabajando desde hace años en soluciones de Gestión de la Seguridad de la Información y han estado presentes en proyectos para acercar la gestión a las empresas de nuestro entorno: como el Proyecto CAMERSEC, promovido por la Cámara de Comercio de Málaga. Estamos avalados por nuestros clientes, experiencia y cualificación para llevar su proyecto a buen puerto. Asimismo, contamos con partners tecnológicos para ofrecer aplicaciones relacionadas con el proyecto a precios competitivos, caso de ser necesarias para la empresa cliente.
Fases para la implantación de un S.G.S.I. ISO 27001
1.- Visita informativa
Realizamos una visita totalmente sin compromiso a nuestros clientes para informarle del proceso de ejecución del proyecto y emitir un presupuesto a medida.
2.- Formalización del contrato
Las condiciones de colaboración son llevadas al contrato que formaliza la relación entre partes para su firma
3.- Equipo de trabajo
Definimos el equipo de trabajo para la ejecución formal del proyecto. Se asignan las responsabilidades a tal efecto y los objetivos de cada etapa.
4.- Análisis de la organización
Se realiza un profundo análisis diferencial de seguridad, comparando la situación actual de la empresa con los requisitos de ISO 27001, determinando también otras medidas de seguridad adicionales que puedan ponerse de manifiesto durante el proceso de análisis. Se actúa sobre dominios como:
- Política de Seguridad
- Organización de la seguridad
- Gestión de los Activos
- Seguridad vinculada al personal
- Seguridad física y del entorno
- Comunicaciones y operaciones
- Control de accesos
- Adquisición y mantenimiento de sistemas
- Gestión de incidencias
- Continuidad de negocio
- Conformidad legal
- Etc.
5.- Documentación y formatos
Proporcionando soporte a la organización, se trabaja en la elaboración de la documentación para el sistema de Gestión de Seguridad de la Información, así como los formatos para dejar registro de las prácticas en él incluidas.
6.- Implantación y tutela
Una vez desarrollado el trabajo documental, se procede a implantar las metodologías creadas, tutelando el cumplimiento de la misma.
7.- Auditoría interna
Realizamos una auditoría para verificar el cumplimiento de los requisitos del sistema y detectar posibles desviaciones, de cara a solventarlas.
8.- Auditoría de certificación
La estructura que creamos es certificable. Por eso, si el cliente decide certificar su sistema de seguridad, le damos soporte en la auditoría de certificación.
Atentamente:
Franklin Campo