Plan Estrategico Seguridad de Nformacion

52
Apoyo:
Asociaciones representadas en el Infosec Council:
Plan Estratgico de Seguridad de Informacin
InfoSec Council
El InfoSec Council fue creado en 2005, idealizado como una reunin de profesionales de alto nivel (Clevel), cuyas reas de actuacin implican en el estmulo, creacin, mantenimiento y evolucin de tcnicas y estrategias relativas a la seguridad de la informacin, aqu considerada en un espectro bien amplio. En este aspecto, estn incluidas las disciplinas de: Tecnologa de Informacin; Seguridad de Informacin; Seguridad Corporativa; Auditoria de Sistemas; Gobernanza de Tecnologa de Informacin; Compliance; Recursos Humanos (para seguridad y auditoria). Sin embargo esos profesionales acten en sus respectivas organizaciones pblicas, privadas y asociaciones , sus participaciones son personales en funcin de sus comprobadas y reconocidas experiencias. El objetivo de InfoSec Council es atender a tres comunidades (usuarios, proveedores y acadmicos) y contribuir e influenciar la evolucin de los aspectos legales de la tecnologa y de la seguridad de la informacin.
Los derechos de autor de este documento pertenecen a InfoSec Council y deben ser respetados segn los trminos de la Ley 9.610, de 19/02/1998, en especial en relacin a su artculo 46. Se autoriza la reproduccin de todo o de sus partes para uso acadmico, siempre que la fuente sea expresamente nombrada. Se veda la reproduccin o almacenamiento de este documentos para fines comerciales, excepto en caso de autorizacin anterior y escrita de InfoSec Council. No se concede ningn otro permiso o derecho en relacin a este documento.
Divulgacin
security.advisor@live.com www.infoseccouncil.org.br
InfoSec Council
Profesionales miembros del InfoSec Council

Astor Calasso Gerente Consultor Gobernanza, Auditora y Seguridad de TI CONSIST Business Information Technology Christiane Mecca Gerente de Seguridad de Informacin / Rhodia Dioniso Campos Gerente de Seguridad Corporativa / Nextel y VP / ABSEG Djalma Andrade Gerente de estrategias de Microsoft Edison Fontes Consultor y Profesor de Seguridad de Informacin Fabiana Santos Analista de Marketing de Microsoft Giuliano Giova Economista, Experto en TI y Director de IBP Brasil Igor Pipolo Chairman de ABSEG Joo Rufino de Sales Jefe de Asesora de TI de DEC-Ejrcito Juliana Abrusio Abogada, especialista en Derecho Electrnico / Opice Blum Advogados Associados Marines Gomes Gerente de Seguridad de Microsoft Mnica Orsolini Gerente de Infraestructura de Promon Engenharia Renato Opice Blum Abogado, especialista en Derecho Electrnico / Opice Blum Advogados Associados Ricardo Castro Coordinador de Auditoria y Presidente de ISACA-SP Ricardo Franco Coelho Coordinador Seguridad-DF / Banco Central y VP / ABSEG Valmir Schreiber CSO / Banco BNP Paribas y Past President de ISACA Oficina SP
Autores
Licenciada en anlisis de sistemas, con master en gestin de sistemas de informacin, es gerente de infraestructura de la unidad de sistemas de Promon Engenharia, empresa donde trabaja desde 1987. Ya actu en muchas reas de TI. Su principal misin es proveer una infraestructura de TI segura y confiable para soportar los negocios de Promon.
Mnica Orsolini
Economista, gerente consultor de Consist Business Information Technology. Trabaja en el rea de tecnologa de informacin (TI) hace ms de 35 aos, gestionando e implantando soluciones de TI y de gobernanza en grandes empresas, adems de actuar como consultor en reas corporativas estratgicas. Fue chief information officer (CIO) y chief security officer (CSO) del rea corporativa de Accor Brasil (Ticket Servicios), siendo responsable de las reas de telecomunicacin, consultora interna y shared services. Es miembro de la Comisin Organizadora del Congreso Nacional de Auditoria de Sistemas, Seguridad y Gobernanza de TI (CNASI) y miembro fundador y vicepresidente del InfoSec Council (SP). Fue director de Information Systems Audit and Control Association (ISACA) en So Paulo de 2004 a 2006.
Astor Calasso
Coronel do Ejrcito Brasileo. Master en aplicaciones militares, especialista en seguridad de informacin, armamento y guerra electrnica, actualmente trabaja como jefe de asesora especial de tecnologa de informacin del Departamento de Ingeniera y Construccin del Ejrcito Brasileo. Fue miembro del Comit Gestor de Seguridad de Informacin, del Comit Gestor de Claves Pblicas Brasileas, jefe de la Seccin de Internet del
Joo Rufino de Sales
Centro de Comunicacin Social del Ejrcito Brasileo, donde fue responsable de la implantacin del Proveedor de Internet del Ejrcito. Fue jefe del Grupo de Asesora Tcnica del Gabinete de Seguridad Institucional de la Presidencia de la Repblica y jefe del 3r Centro de Telemtica de rea So Paulo. Es miembro de la Sociedad Brasilea de Ingeniera de Radio y TV y miembro fundador del InfoSec Council.
Consultor, gestor y profesor de seguridad de informacin, tema al cual se dedica desde 1989. Licenciado en informtica por la Universidad Federal de Pernambuco (UFPE), donde se especializ en ciencias de la computacin. Es posgraduado en gestin empresarial de la Fundacin Instituto de Administracin, de la Universidade So Paulo (FIA/USP), y estudiante de maestra en tecnologa de informacin del Centro Paula Souza, de So Paulo (SP). Es autor de los siguientes libros: Praticando a Segurana da Informao, Editora Brasport, 2008. Segurana da Informao: O Usurio faz a Diferena, Editora Saraiva, 2006. Vivendo a Segurana da Informao, Editora Sicurezza, 2000.
Edison Fontes
Gerente de seguridad de informacin de Rhodia. Analista de sistemas con ms de 20 aos de actuacin en tecnologa de informacin (TI), tiene mucha experiencia en seguridad de informacin, e-commerce y redes. Licenciada en anlisis de sistemas, posgraduada en marketing y MBA en ingeniera de calidad, trabaja tambin como auditora ISO 9001.
Christiane Mecca
Administrador de empresas, con 15 aos de experiencia en el mercado financiero, con nfasis en gestin de seguridad digital y combate a fraudes electrnicos. Fue CSO del Grupo Caixa Seguros y Business Security Officer de Citigroup. Actualmente es superintendente del Centro de Servicios de Seguridad Gestionados en Produban, empresa de TI del Grupo Santander. Fue profesor del curso de Gestin de Seguridad de Informacin de la Universidade Euro-Americana, en Brasilia (SF), y profesor-invitado del Curso de MBA en TI de Fundace-USP, en Ribeiro Preto (SP). Ya escribi artculos sobre seguridad para Gazeta Mercantil, KPMG Business Magazine, Microsoft Business Magazine, TI Inside, entre otras revistas. Tambin es conferencista, y se present en 2009 en el CERT-Forum, en So Paulo (SP), y en el Security Summit 2009, organizado por la Revista The Economist, en Washington, DC (Estados Unidos).
Alvaro Tefilo
Valmir Schreiber
Tiene ms de 25 aos de experiencia en los segmentos de informtica y seguridad de informacin. Actualmente es Chief Security Officer (CSO) del Banco BNP Paribas Brasil. Licenciado en matemtica y posgraduado en seguridad de informacin; tiene el certificado de Certified Information Security Manager (CISM) de la Information System Audit and Control Association (ISACA); adems de ser certificado en Information Technology Infrastructure Library (ITIL Foundation); representante de la Asociacin Brasilea de Bancos Internacionales (ABBI) en el Banco Central para el grupo de trabajo de seguridad del Sistema de Pago Brasileo (SPB); miembro del InfoSec Council de Brasil; elegido en 2004, 2005, 2006 y 2007 como uno de los 50 ms influyentes Security Officer por la revista IT Intelligence Magazine. Fue Presidente de ISACA oficina So Paulo en los aos 2005, 2006 y 2007. Participa de conferencias sobre gestin de riesgos tecnolgicos, gobernanza de TI y concientizacin de seguridad de informacin.
Consultor senior en gobernanza corporativa y de TI, evaluacin de riesgos y proyectos de compliance (GRC) hace ms de 15 aos. Tiene un MBA en gobernanza de TI por la Fundacin IPT, es certificado CGEIT (Certified in
Andr Pitkowski
the Governance of Enterprise IT) por ISACA, donde trabaja como director de la oficina de So Paulo desde 2003 y es coordinador de ISACA-EUA para Risk IT Framework. Es certificado OCTAVE por el Software Engineering Institute (SEI), de Carnegie Melon University (CMU), de Pittsburg (EUA) y es auditor lder en ISO 31.000, framework de riesgos corporativos. Actualmente, gestiona proyectos de evaluacin de riesgos en activos crticos, mapa de riesgos de TI y proyectos de gobernanza de TI y compliance en empresas nacionales e internacionales, participa de conferencias internacionales y es profesor universitario de posgrado y MBA.
Coordinador de auditoria interna del grupo Hamburg-Sd de Navegao e Logstica y presidente de Information Systems Audit and Control Association, Oficina de So Paulo (ISACA-SP). Tiene ms de 11 aos de experiencia en seguridad de informacin, gestin de riesgos, auditoria e investigacin de fraudes corporativos. Licenciado en tecnologa y procesamiento de datos por la Universidade Presbiteriana Mackenzie y posgraduado en anlisis y proyectos de sistemas. Fue el primer brasileo a recibir el Premio ACFE Outstanding Achievement Awards, de la Association of Certified Fraud Examiners norte-americana por su contribucin al combate a fraudes corporativos. Es conferencista y profesor en cursos de MBA y posgrado en gobernanza y gestin de riesgos, auditoria, investigacin y prevencin de fraudes, introduccin a informtica forense y gestin por procesos.
Ricardo Castro, CISA CFE
Abogado y economista; Coordinador del curso de MBA en Derecho Electrnico de Escola Paulista de Direito; Profesor invitado del Curso Electronic Law de Florida Christian University, Fundao Getlio Vargas, PUC, FIAP, Rede de Ensino Luiz Flvio Gomes (LFG), Universidade Federal do Rio de Janeiro, FMU y otras; Profesor conferencista/congresista de la Universidade Mackenzie, FMU; Profesor colaborador de la aparcera ITA-Stefanini; rbitro de FGV, de la Cmara de Mediacin y Arbitraje de So Paulo (FIESP); Presidente del Consejo Superior de tecnologa de informacin de la Federacin de Comrcio/SP y del Comit de Derecho de la Tecnologa de AMCHAM; Miembro de la Comisin de Derecho de la Sociedad de Informacin OAB/SP; Vicepresidente del Comit sobre Crmenes Electrnicos OAB/SP; Coordinador y co-autor del libro Manual de Direito Eletrnico e Internet; Socio de Opice Blum Advogados; Curriculum Plataforma Lattes: http://lattes. cnpq.br/0816796365650938.
Renato Opice Blum
Socia de Opice Blum Advogados Associados, trabaja en el rea de Derecho Electrnico. Tiene un master de la Universidad de Roma II, es profesora de la Facultad de Derecho y del Posgrado en Informtica Forense de la Universidade Mackenzie. Es miembro del Consejo de Comrcio Electrnico de la Federacin de Comrcio (SP) y co-coordinadora de la obra Manual de Direito Eletrnico e Internet, de Editora Lex.
Juliana Abrusio
Ejecutivo y profesional de procesamiento de datos hace ms de 30 aos. Economista, perito judicial en cuestiones de tecnologa de informacin (TI) y telemtica, director del Instituto Brasileiro de Peritos em Comrcio Eletrnico e Telemtica (IBP Brasil), instructor y conferencista sobre peritaje en TI, sonido, imagen y crmenes electrnicos.
Giuliano Giova
Sumario
Presentacin..................................................................................................................................................................10 Captulo 1 Sistema de gestin de seguridad de informacin......................................................................................11 Mnica Orsolini 1. Patrocinadores y comit.........................................................................................................................................11 1.1. Concepto-clave. ......................................................................................................................................................11 1.2. Mecanismos de control.......................................................................................................................................11 1.2.1. Mtricas.................................................................................................................................................................11 1.2.2. Definicin..............................................................................................................................................................12 1.2.3. Tipos de mtricas...............................................................................................................................................12 1.2.4. Recogida de resultados.................................................................................................................................... 13 1.2.5. Factores-clave de xito. ................................................................................................................................... 13 Captulo 2 Participacin del negocio en PESI......................................................................................................................14 Astor Calasso 1. La responsabilidad de los gestores en PESI.....................................................................................................14 2. Quin paga por la seguridad?............................................................................................................................15 3. Cmo lograr seguridad?.......................................................................................................................................15 4. Seguridad interna u outsourcing?.....................................................................................................................15 5. Quin es el comit del PESI?...............................................................................................................................16 6. Cules son los riesgos y vulnerabilidades?. ....................................................................................................16 7. El papel de la administracin y de los inversionistas................................................................................... 17 Captulo 3 Gestin de riesgos......................................................................................................................................................18 Joo Rufino de Sales Captulo 4 Aspectos tecnolgicos, humanos y financieros...........................................................................................20 Edison Fontes 1. Introduccin................................................................................................................................................................20 2. Definiciones.................................................................................................................................................................20 2.1. Aspectos sociales. ...................................................................................................................................................20 2.2. Aspectos tcnicos. ..................................................................................................................................................20 3. Planificacin de la seguridad de informacin................................................................................................20 4. Aspectos sociales.......................................................................................................................................................22 4.1. Reglamentos............................................................................................................................................................22 4.2. Cultura organizacional.........................................................................................................................................22 4.3. Ambiente organizacional....................................................................................................................................22 4.4. Proceso continuo de capacitacin.................................................................................................................. 23 4.5. Profesionalismo...................................................................................................................................................... 23
5. Aspectos tcnicos...................................................................................................................................................... 23 5.1. Actualizacin de la tecnologa.......................................................................................................................... 23 5.2. El proveedor da solucin. .................................................................................................................................... 23 5.3. Requisitos de seguridad deben ser mantenidos........................................................................................24 6. Aspectos financieros................................................................................................................................................24 7. Conclusin...................................................................................................................................................................24 Captulo 5 Servicios internos........................................................................................................................................................25 Christiane Mecca Captulo 6 Proveedores externos...............................................................................................................................................26 lvaro Tefilo 1. Introduccin................................................................................................................................................................26 2. Gestin de aparceros de negocios.....................................................................................................................26 3. Quin, cundo y qu evaluar................................................................................................................................26 4. Evaluando y monitoreando riesgos.................................................................................................................... 27 5. Implantando el proceso.......................................................................................................................................... 27 Captulo 7 Mejores prcticas........................................................................................................................................................29 Valmir Schreiber e Andr Pitkowski 1. Introduccin................................................................................................................................................................29 1.1. Las dimensiones. .....................................................................................................................................................29 1.2. Los mecanismos. .....................................................................................................................................................29 2. CobiT.............................................................................................................................................................................. 30 2.1. Un modelo unificado........................................................................................................................................... 30 3. ITIL.................................................................................................................................................................................. 31 3.1. ITIL una visin general..................................................................................................................................... 31 4. CobiT e ITIL agregando resultados..................................................................................................................... 31 4.1. Combinando CobiT e ITIL para enfrentar a los desafos de los negocios........................................ 31 4.2. Combinacin de modelos. .................................................................................................................................. 32 5. COSO. ............................................................................................................................................................................. 32 6. CBK................................................................................................................................................................................. 33 7. Asociaciones................................................................................................................................................................ 34 7.1. ISACA.......................................................................................................................................................................... 34 7.2. ISSA............................................................................................................................................................................. 34
Captulo 8 Gestin de cambios.................................................................................................................................................... 35 Ricardo Castro 1. Cambios como causas de incidentes................................................................................................................. 35 2. Desafos de la gestin de cambios..................................................................................................................... 35 3. Gestin de cambios segn CobiT................................................................................................................... 36 4. Manteniendo riesgos bajo control..................................................................................................................... 37 5. Midiendo la eficacia de los controles................................................................................................................ 37 6. Preguntas para pensar............................................................................................................................................ 38 Captulo 9 Aspectos jurdicos del PESI. ................................................................................................................................... 39 Renato Opice Blum e Juliana Abrusio 1. Introduccin................................................................................................................................................................ 39 2. La estrategia de la organizacin frente a las normas de seguridad....................................................... 39 3. Conformidad con los requisitos legales............................................................................................................ 39 4. Reglamento Interno de Seguridad de Informacin.....................................................................................40 5. Trminos de Uso de Seguridad de Informacin............................................................................................40 6. Monitoreo de e-mails..............................................................................................................................................40 7. Responsabilidades. ...................................................................................................................................................41 8. Implementacin.........................................................................................................................................................42 Captulo 10 Informtica Forense...................................................................................................................................................44 Giuliano Giova 1. El poder del faran...................................................................................................................................................44 2. Miles de aos despus............................................................................................................................................44 3. Y hoy en da?. ...........................................................................................................................................................45 4. Revisitando el viejo conflicto de intereses.......................................................................................................46 5. Informtica forense. .................................................................................................................................................. 47 6. Principio de Locard...................................................................................................................................................48 7. Heisenberg e a fsica quntica.............................................................................................................................48 8. Cadena de custodia..................................................................................................................................................48 9. Cuestiones....................................................................................................................................................................49 10. Exmenes tcnicos. .................................................................................................................................................49 11. Informe pericial. .......................................................................................................................................................50 12. Finalmente.................................................................................................................................................................50
10
Presentacin
A medida que la tecnologa es cada vez ms un componente importante y preponderante de los negocios en muchos casos, es parte integrante de los propios productos y servicios ofrecidos , las organizaciones no pueden descuidar el control adecuado y meticuloso de sus procesos. Del contrario, tendrn prdidas expresivas de capacidad de operacin en sus mercados y de credibilidad de su administracin. En diversos eventos, en los cuales participamos como miembros de InfoSec Council o en funcin de nuestras actividades profesionales, nos vemos confrontados con cuestiones referentes a la creacin, elaboracin y establecimiento de un Plan Estratgico de Seguridad de Informacin (PESI). Las cuestiones presentadas son multidisciplinares y frecuentemente se refieren a: Metodologas utilizadas; Cuidados considerados; Envolvimiento de la alta administracin; Formas de funding y costeo; Gestin de riesgos y vulnerabilidad de los procesos; Determinaciones legales y reglas; Gestin de ejecucin. En funcin de esa demanda, InfoSec Council resolvi, en sus reuniones peridicas, que debera ofrece a nuestra comunidad un material para servir como gua y consulta para esta tarea. Sus miembros compilaron sus experiencias, lecciones aprendidas, dificultades enfrentadas y errores cometidos. Este material fue consolidado en este documento, cuya finalidad es ofrecer informaciones, sugestiones y alertas sobre cmo lograr el objetivo mayor: movilizar todas las reas de las organizaciones en torno a una cuestin fundamental. Por lo tanto, no pretendemos establecer aqu un formato final y definitivo sobre el tema. En ese sentido, se trata de la suma de experiencias vividas, ajustadas a un estudio sobre las mejores prcticas, buscando establecer recomendaciones y directrices que debern observarse en la elaboracin del PESI.
Este trabajo se destina a la gerencia ejecutiva y a los profesionales responsables de los controles y de la informacin, incluyendo gestores de SI y de TI y a los profesionales de auditoria, apoyndolos en la evaluacin de los ambientes de la informacin. Recomendamos tambin su lectura al board de las organizaciones.
A quin se destina este documento
El InfoSec Council agradece a las Organizaciones y Empresas donde sus Miembros trabajan, por estimular y motivar a sus Ejecutivos. El InfoSec Council tambin agradece a Consist el apoyo editorial en la impresin de este paper. Agradecemos el inestimable apoyo de: Fabiana Santos Analista de Marketing de Microsoft Marcelo Melro LAM Solutions Consulting Manager / Siemens Enterprise Communications
Agradecimiento
11
Captulo 1
Sistema de gestin de seguridad de informacin

Mnica Orsolini 1. Patrocinadores y comit La eleccin de los patrocinadores es fundamental para el xito de la implantacin de un Sistema de Gestin de Seguridad de Informacin (SGSI) en una organizacin. Ellos ofrecen el soporte para la implantacin del SGSI, permitiendo la toma de acciones decurrentes de la aplicacin del sistema. Los patrocinadores suelen ser profesionales de la alta direccin de la organizacin, adems de otras personas-clave del rea de negocios. Esas personas deben formar un comit, generalmente nombrado Grupo Gestor de Seguridad de Informacin (GGSI), que tiene como meta el mantenimiento del SGSI en la organizacin. Entre sus atribuciones est la creacin de la Poltica de Seguridad de Informacin, as como los procedimientos decurrentes y la aplicacin de eventuales sanciones, que deben ser aplicadas de manera imparcial a cualquier colaborador que viole la poltica establecida, independiente de su nivel jerrquico. Para que esta premisa pueda ser cumplida, entretanto, es necesario que el GGSI tenga influencia suficiente para sensibilizar a los colaboradores sobre los riesgos resultantes del incumplimiento de la poltica. Sin embargo, vale la pena mencionar que la seguridad de informacin es una cuestin cultural, de aprendi. zaje y procesos. Por lo tanto, las sanciones deben aplicarse a medida que el sistema se vuelve constante, conocido por todos, y desde el momento en que la curva de aprendizaje se muestra favorable. Este es un proceso lento que requiere mucha dedicacin del GGSI. 1.1. Concepto-clave Sanciones: las normas deben cumplirse, y a cada incumplimiento, se puede aplicar una sancin. Todas las normas deben tener los riesgos asociados a su incumplimiento muy bien documentados as como deben establecer claramente las sanciones que pueden aplicarse. Cuestiones a considerar: El patrocinador elegido puede apoyar adecuadamente el proyecto? El patrocinador apoyar las sanciones contra cualquier miembro, en caso de violacin? El patrocinador es uno de los ms interesados en el xito del proyecto? 1.2. Mecanismos de control No se puede gestionar lo que no se mide, no se puede medir lo que no se define, no se puede definir lo que no se entiende, no hay xito en lo que no se gestiona (William Edwards Deming). 1.2.1. Mtricas Dada la diversidad de las actividades realizadas, cuando se desarrolla e implementa un SGSI, por supuesto, esto implica que el gerente responsable de la misin debe gestionar diversos mecanismos de control implementados en diferentes plataformas y en diferentes ambientes organizacionales. Dependiendo de la cantidad de personas, procesos y tecnologas involucradas, esta actividad puede ser difcil debido a la cantidad y variedad de elementos que se deben monitorear. Luego viene la necesidad urgente de contestar a algunas preguntas: Cmo podemos saber si el nivel actual de seguridad es el nivel necesario para nuestro negocio? Cmo medir el nivel de eficacia de los controles actuales frente a los riesgos identificados? Una buena estructura de mtricas permite evaluar la eficacia de un SGSI. Pero, para lograr ese nivel, la or. ganizacin necesita desarrollar un plan de mtricas, que debe incluir la forma de recogida, el repositorio, los procedimientos para retencin y las formas de evaluacin, entre otras cosas. El primer paso es entender cules son los objetivos que deben alcanzarse, y a partir de eso, desarrollar indicadores que cumplan esos objetivos.
12
. a medicin de la eficacia de un SGSI est lejos de ser una tarea fcil. Para esa finalidad, se deben desarrollar L estrategias para su monitoreo, resultando en informaciones que tengan sentido y ayuden a los tomadores de decisiones. En muchos casos, la falta de tiempo y de conocimiento y la adopcin de una estrategia inadecuada para la creacin de indicadores pueden afectar el SGSI. Adems, como el SGSI es muy dinmico, mtricas bien definidas ayudan a visualizar la situacin actual y a simular y desarrollar las mejoras necesarias. El SGSI debe mantenerse vivo y en constante evolucin. 1.2.2. Definicin En un SGSI, mtricas son las medidas estipuladas en base a los objetivos que se quieren lograr, que son comparadas a los resultados obtenidos durante la operacin de un SGSI. Sin embargo, esto no invalida la importancia de comparar los resultados obtenidos anteriormente, porque, de esta manera, es posible discernir las tendencias y evaluar la madurez de su SGSI. Este anlisis de tendencias ayudar a la organizacin a prevenir y tomar medidas preventivas para corregir ciertos problemas. Un mtodo muy importante en el SGSI es el Benchmarking. Se utiliza para comparar el desempeo de cualquier proceso a otro similar, de otra organizacin, que est siendo ejecutado de manera ms eficaz y eficiente. 1.2.3. Tipos de mtricas Debemos elegir la mtrica ms adecuada en cada caso. Algunas pueden ser usadas (sin limitacin) para medir la eficacia, la eficiencia, el tiempo, la productividad, la calidad, el rendimiento y la fiabilidad del SGSI. Como ejemplos de los controles de las mtricas, podemos nombrar: Benchmarking de estudios sobre seguridad de informacin; Resultados de encuestas internas de evaluacin del SGSI; Gestin de incidentes de seguridad. Independientemente de la diversidad de los tipos de mtricas existentes, la organizacin debe seleccionar aquellas que le proporcionen la informacin relevante a su SGSI, como se mencion anteriormente. Abajo, presentamos una tabla con las informaciones mnimas pero necesarias para crear un plan de mtricas. Tabela 1 Paso a paso para establecer mtricas. 1.2.4. Recogida de resultados La actividad de medir demanda recursos y, por supuesto, tiempo para la recogida y anlisis de los resultados. Por esa razn, las mtricas deben tener sentido y ser coherentes, adems de estar en lnea con los objetivos que deben alcanzarse. Como no todos los resultados pueden ser recogidos automticamente, es importante
13
determinar la mejor manera de hacerlo, especialmente cuando la participacin de otras reas es necesaria y la recogida debe realizarse manualmente 1.2.5. Factores-clave de xito Destacamos algunos factores que deben ser gestionados adecuadamente para que la organizacin consiga desarrollar mtricas apropiadas que ayuden a monitorear mejor su SGSI. Conocer el objetivo que se quiere lograr; Conocer las metas que se deben alcanzar; Recoger los resultados de manera oportuna; Presentar resultados vlidos y fiables; Crear mtricas que permitan monitorear el SGSI; Desarrollar metas desafiadoras. Es vital que los factores clave de xito sean identificados y documentados de modo que la organizacin pueda gestionarlos. Por fin, es evidente la importancia de establecer mtricas, para que sea posible ver la efectividad de cualquier SGSI. Sin ellas, la gestin se llevar a cabo de manera puntual, con muchas acciones sin foco y, en algunos casos, sin criterios definidos. La gestin que utiliza un sistema de mtricas permite una visualizacin rpida de la situacin actual, adems de contribuir para la toma de decisiones de manera ms firme. Bibliografa HUMPHREY, Ted, PLATE, Angelika. Measuring the effectiveness of your ISMS implementations based on ISO/ IEC 27001. London: BSI Standards, 2006. NIST SPECIAL PUBLICATION. Security Metrics Guide for Information Technology Systems. 800-55, July 2003. PAYNE, Shirley. A Guide to Security Metrics. SANS Security Essentials GSEC Practical Assignment, Version 1.2e, July 2004.
14
Captulo 2
Participacin del negocio en el PESI1

Astor Calasso El que conoce a los dems es inteligente. El que conoce a s mismo es iluminado. (Tao Te King Lao Tzu) Predecir es difcil especialmente el futuro. (Niels Bohr, Nobel de Fsica-1922) Somos lo que hacemos repetidamente. La excelencia, entonces, no es un acto sino un hbito. (Aristteles) La premisa fundamental de la gestin de riesgos corporativos es que cada organizacin existe para proporcionar valor a sus inversionistas. Todas las organizaciones enfrentan a la incertidumbre y un reto para sus gestores es determinar cunta incertidumbre debe ser aceptada, ya que obstaculiza el crecimiento de valor a los inversionistas. La incertidumbre presenta tanto riesgos como oportunidades, con el potencial de destruir o aumentar el valor. La gestin de los riesgos permite que los administradores hagan frente a la incertidumbre y a los riesgos y oportunidades asociados con eficacia, fortaleciendo la capacidad de crear valor. El valor se maximiza cuando los administradores establecen estrategias y objetivos para lograr el equilibrio ideal entre las metas de crecimiento / rendimiento y los respectivos riesgos, utilizando los recursos de manera eficiente y eficaz para lograr los objetivos de la Organizacin (COSO -- Committee of Sponsoring Organizations of the Treadway Commission). Esta citacin da inicio al Resumen Ejecutivo del Enterprise Risk Management - Integrated Framework, publicado y distribuido por COSO. Estas declaraciones expresan, en su esencia, el papel fundamental e indelegable de los directores y gestores de todas las organizaciones. Cabe sealar que las designaciones no se refieren a funciones especficas, y aluden a gestores de manera general. 1. La responsabilidad de los gestores en el PESI De hecho, esa responsabilidad recae sobre la junta directiva. Si bien determinadas acciones son delegadas a un rea especializada (por ejemplo, al CSO Chief Security Officer), la fijacin de sus metas y lmites es de responsabilidad de todos los administradores. El rea delegada tiene la funcin de aplicar tcnicamente, tomando nota de la ejecucin y realizacin de la estrategia (trabajo), y con la autoridad asociada a la responsabilidad recibida, actuar para su adecuada orientacin y eficacia. Y esto es fundamental: el rea delegada tiene la responsabilidad, y en la misma medida, la autoridad recibida de la junta referente a las prioridades estratgicas asignadas. Sin embargo, segn las mejores prcticas de delegacin de poderes todas las tareas se pueden delegar, pero no se puede delegar la tarea en su totalidad, la parte que sigue con quin deleg es el punto de control. Es el negocio que tiene las medidas exactas de los riesgos a que estn expuestos y de las incertidumbres, en su justa medida, que se deben impedir (o aprovechar) para la generacin de mejores negocios y atencin especial a sus mercados. Ni ms, ni menos. Otra ventaja importante de esta participacin es que, al comprender la aplicacin exacta de las medidas, los gestores de negocios tambin pueden ofrecer esta seguridad a su mercado como un beneficio adicional agregado a sus productos y servicios. 2. Quin paga por la seguridad? Actualmente, es inaceptable la situacin a menudo encontrada, en que, de un lado, la gestin de riesgos debe cubrir vulnerabilidades de la tecnologa de informacin (IT) o de procesos y, de otro lado, no recibe recur1
Plano Estratgico de Segurana da Informao.
15
sos para implementar sus proyectos. Si es fundamental que el negocio establezca la organizacin y el comportamiento frente a los riesgos, l es el que debe proporcionar los recursos y, en seguida, cobrar su uso correcto. Y eso, sin duda, es parte integrante del costo del negocio. La idea de que los costos de TI y de seguridad son de esas reas y no del negocio es una forma de gestin incoherente. El negocio debe pagar esos costos, teniendo en cuenta la evolucin a corto, mediano y largo plazo. Pero es importante no perder de vista que la aplicacin, la existencia y la extensin de la seguridad deben ser una imposicin estratgica de la organizacin. En resumen, es saludable considerar que el sector de la seguridad de informacin es un rea de costo cero, donde sus gastos e inversiones son transferidos a otras reas, productos o filiales de la organizacin. De esta manera, mejora la percepcin de todos de que la gestin de riesgos y la seguridad de informacin son obligatorias y son una responsabilidad de todos. A propsito, esa cultura tambin es saludable cuando se aplica a toda el rea de TI. 3. Cmo lograr seguridad? A menudo, nos encontramos con situaciones en las que los proyectos se determinan nicamente en funcin de alertas del mercado, sobretodo de consultores y proveedores. No es que sean errneos o dainos, pero es comn que, como vienen de afuera de la organizacin, no aborden adecuadamente las efectivas caractersticas demandadas o soportadas por el negocio. En muchos casos, exploran las tcnicas de fear, uncertainty and doubt (FUD, acrnimo en ingls que significa miedo, incertidumbre y duda). Esos proyectos, en la mayora de los casos, resultan en costos y esfuerzos desproporcionados a las necesidades reales ya sean muy altos, lo que implica ociosidad, o muy bajos, lo que implica gran vulnerabilidad residual. Estos proyectos quedan en el campo de la capacidad poltica y del convencimiento de los gestores de riesgos, simplemente aceptados por los dems gestores de manera pasiva, creyendo solamente en los argumentos presentados (un fenmeno conocido como Paradoja de Abilene, en el que un grupo de personas se ve obligado a actuar de forma opuesta a sus convicciones). A lo sumo, esta prctica slo representa una prdida de esfuerzos, tiempo, credibilidad y dinero. En estos casos, cuando ocurren problemas, toda la responsabilidad recae invariablemente sobre el CSO. Cada organizacin debe establecer, en funcin de sus caractersticas, de la evolucin esperada, de los nuevos negocios planeados y de los benchmarks que tengan sentido, las mejores prcticas a seguir y la medida de la aversin al riesgo a respetar. Lo contrario implica la reduccin arbitraria de los recursos cada vez que el negocio se enfrenta a dificultades, sin ninguna certeza de un uso adecuado de los recursos. 4. Seguridad interna u outsourcing? El escenario que estamos tratando aqu se refiere a la poltica utilizada en seguridad y debe ser considerado, independiente del modelo operativo practicado. Incluso cuando hablamos de outsourcing, esas cuestiones deben abordarse de manera adecuada, de modo que el baseline contratado sea lo ms realista posible. Outsourcing no significa transferencia de responsabilidad, pero simplemente la delegacin de las actividades operativas. Del mismo modo, la opcin por outsourcing apenas en funcin de la reduccin de costos puede resultar peligrosa en todos los casos, pero especialmente en lo que respecta a la seguridad de informacin. Hay que tener en cuenta dos aspectos: Subcontratar lo que no se domina, o simplemente porque es mal hecho internamente puede significar fracaso y aumento de costos; El perodo inmediatamente anterior a la subcontratacin es el momento ideal para la reorganizacin del proceso que ser externalizado. La reduccin de costos, en este escenario, puede ser ms fcil de lograr, de una manera ms consistente, y como resultado, solamente el baseline efectivamente necesario ser contratado: ni tan pequeo que resulte en la falta de calidad ni tan grande que significa costos indebidos (ociosidad).
16
Otro aspecto de esa misma situacin se refiere al caso frecuente que ocurre cuando el proveedor es elegido antes de que se elija el proceso o la solucin adecuada, tambin conocida como Efecto Manada. Esta inversin del orden de seleccin es una prctica generalizada, citada por Gartner como una de las fuentes de problemas en la gestin de seguridad (y de TI como un todo). En estos casos, es comn que la organizacin se adapte a la solucin, cuando debera ser al revs. Despus de seleccionado el proveedor, es muy difcil cambiar las alternativas y configurar el SLA (Service Level Agreement o Acuerdo de Nivel de Servicio) conveniente, ya que las actividades sern desarrolladas nicamente de acuerdo a las prcticas de ese proveedor, o vinculadas al baseline acordado. Como cualquier inversin, los proyectos propuestos en el PESI siempre deben proporcionar el anlisis de ROI (return on investment o retorno de la inversin), ya sea financiero o intangible. Para que ese retorno sea eficaz, es esencial que los beneficios sean medidos y determinados por el negocio, de acuerdo a su visn de la tasa interna de retorno aceptable. Y vale la pena repetir la advertencia: los gestores de riesgos no deben buscar solos sus propias tasas de rentabilidad adecuadas, es el negocio que puede establecer las mejores condiciones. 5. Quin es el comit del PESI? EAunque ya se mencion en otro captulo de este documento, vale repetirlo. Un aspecto importante de la participacin del negocio en el PESI es aclarar que los gestores implicados son los de la primera lnea de la organizacin, los que trabajan directamente con los procesos. Pero deben ser apoyados y fundamentados por los equipos de auditora, jurdico, compliance, TI y seguridad (de IT y corporativa). El rea de recursos humanos (HR) tambin debe participar, ya que el comportamiento del personal es un elemento importante de mitigacin de riesgos. Y como un plan slo es bueno cuando es conocido, comprendido y aceptado por toda la organizacin, debera considerarse la movilizacin del departamento de marketing y comunicacin social para su divulgacin y conocimiento, desarrollndose medidas de endomarketing adecuadas a cada organizacin. En lo que se refiere al patrocinador, la sugestin es que sea, en la medida de lo posible, el principal responsable de la organizacin (CEO - Chief Executive Officer, o Presidente, etc.). Una alternativa es que sea nombrado por el rgano al cual la organizacin est subordinada, como la junta de accionistas, consejo de administracin, etc. De acuerdo con COSO, en el Resumen Ejecutivo nombrado, el objetivo de esa participacin es establecer acciones conjuntas y armnicas para: Alinear la aversin al riesgo y la estrategia necesaria; Mejorar las decisiones de respuesta a riesgos; Reducir los imprevistos operativos y las prdidas; Identificar y gestionar riesgos mltiples y cruzados en la organizacin; Aprovechar las oportunidades en un entorno dinmico; Optimizar el uso del capital / inversin. 6. Cuales son los riesgos y vulnerabilidades? El anlisis de los orgenes de los riesgos es un aspecto importante y fundamental a considerar. En la actualidad, la seguridad de informacin es tratada como una de las actividades relacionadas, de una u otra manera, a la propia TI. En este caso, lo que se ve es el tratamiento tcnico de esas amenazas, proporcionando al ambiente potentes herramientas para evitar los ataques externos, tales como Firewalls, IDS, antivirus, etc. Por supuesto, ese tipo de herramienta es esencial y, por desgracia, seguir siendo. Sin embargo, debe darse atencin especial a las amenazas internas, en las que los usuarios, utilizando operaciones legtimas y que hacen parte de sus rutinas de trabajo, causan daos aun ms importantes (y con frecuencia recurrentes) que los ataques externos. Estos casos, que incluyen fugas de informacin, prdidas de capital intelectual, fraudes, etc., causan daos irreparables a la organizacin, tanto en trminos de prdidas financieras significativas, como (peor) de imagen. Lo importante es que esos riesgos y vulnerabilidades casi nunca son llevados en cuenta por el rea tcnica, pero son fuentes de enorme preocupacin para los administradores del negocio y, en ltima instancia, para los mayores gestores - CFO (chief financial officer), COO (chief operating officer), CTO (chief technical officer), CCO
17
(chief compliance officer) etc, incluyendo el CEO. Adems de las cuestiones organizacionales relativas a riesgos derivados de negocios, uno tiene que estar preparado para las cuestiones de reglamentacin. Hay cada vez ms (y ms) reglas para la administracin de organizaciones, en funcin de la creciente interdependencia de los mercados mundiales y de la proteccin necesaria de los inversionistas y los stakeholders. En ese sentido, la organizacin debe estar preparada para otro tipo de riesgo, no menos importante: las cuestiones de compliance. Y hay nuevas condiciones: las organizaciones deben, sistemticamente, adaptarse a distintas reglas de naturaleza y origen diferentes. Por ejemplo, estn las reglas internacionales, de los pases de origen, de los pases de operacin (estas dos conocidas como cuestiones home-host), las reglas establecidas por los segmentos en los que operan, adems de las propias reglas internas. Todos esos reglamentos son dirigidos de manera diferente (a veces casi opuesta) a las reas de la organizacin: administrativa, financiera, operativa, comercial, logstica, produccin, etc El incumplimiento de una sola regla puede ser fatal para todo el proyecto, y por lo tanto, una gran cuestin de RIESGO. 7. El papel de la administracin y de los inversionistas En este proceso, los responsables directos de la seguridad desempean una funcin que va ms all de la simple recopilacin de informaciones para la toma de decisiones, porque deben presentar un modelo con un alcance definido y sugerir criterios para que el proceso decisorio est estructurado y no simplemente basado en un evento. Como los riesgos siempre son superiores a los recursos disponibles, los administradores deben definir qu hacer y sus prioridades en funcin de la realidad actual y las tendencias del negocio. Esta es la nica manera de defender, frente a la direccin de la organizacin y de los inversionistas, la asignacin de los recursos para su realizacin y de los poderes y autoridad necesarios a su realizacin. Un proceso decisorio estructurado y conjunto permitir: Alinear la visin de los administradores acerca de las cuestiones estratgicas y de su importancia; Relacionar los criterios cualitativos y cuantitativos de las distintas reas; Decisiones coherentes, basadas en reglas claras y de consenso; Optimizacin de recursos en funcin de la propia evolucin del negocio (anlisis estratgico de escenarios); Dar prioridad a los proyectos de manera coherente y estructurada; Comunicar las decisiones y sus criterios de manera adecuada a toda la organizacin; Asegurar el compliance de la organizacin adecuado a sus ambientes; Resultados justificables. La utilizacin de un lenguaje comn es una tarea importante, si se considera que los diferentes actores tienen diferentes modelos mentales, de acuerdo a sus atribuciones funcionales. Lo ideal es crear un formato comn que permita compartir entre ellos: el CEO con el CFO, con el COO, etc. Y ellos deben entender que sern tambin responsables del xito y de los objetivos establecidos. Es importante tener en cuenta que los inversionistas estn interesados en dos aspectos y que ninguno de . ellos debe o puede ser minimizado. Por un lado, quieren los mejores resultados inmediatos posibles, rentabilizando inversiones y, de otro lado, se preocupan con la capacidad de la organizacin de proporcionar rendimientos y beneficios futuros - en ltima instancia, la duracin de la operacin que determina el valor real del negocio (goodwill).
18
Captulo 3
Gestin de riesgos
Joo Rufino de Sales Rerse es arriesgarse a parecer tonto. Llorar es arriesgarse a parecer sentimental. Ponerse al alcance de otro es arriesgarse a quedar implicado. Exponer los sentimientos es arriesgarse a mostrarse uno mismo. Exponer las ideas y los sueos ante una multitud es arriesgarse a perderlos. Amar es arriesgarse a no ser correspondido. Vivir es arriesgarse a morir. Tener esperanzas es arriesgarse a desilusionarse. Intentar algo es arriesgarse al fracaso. (Autor desconocido) Nuestra vida es as: una secuencia interminable de opciones entre una u otra situacin. El riesgo es inherente a las sociedades humanas. Nuestra condicin de seres inteligentes transforma nuestras opciones en una eleccin constante entre si debemos o no aceptar el paso siguiente. Dentro de este aspecto es que la gestin de riesgos en seguridad asume un papel decisivo en la preparacin del Plan Estratgico de Seguridad de Informacin (ISSP). Ms que arriesgarse para tener xito en una buena planificacin, una organizacin debe tener apetito de riesgo, cuantificar adecuadamente y elegir los tipos de riesgos que est dispuesta a correr y perseguir. Es el riesgo aceptable que nos hace diferentes y competitivos en la sociedad moderna. El riesgo debe mantenerse de manera consciente y coherente con nuestros objetivos. Debemos siempre, a cada paso, estar dispuestos a elegir los riesgos que queremos aceptar para lograr nuestros objetivos. La gestin de riesgos, por lo tanto, es un proceso sistemtico para identificar, analizar, evaluar y tratar los riesgos que permite mejorar el desempeo de la organizacin a travs de la identificacin de oportunidades de ganancias y de reduccin de la probabilidad o impacto de prdidas, yendo ms all de las demandas reguladoras. El proceso de evaluacin de riesgos (risk assessemnt), de hecho, no es un procedimiento nico y, s, una composicin de otros tres procesos: identificacin de riesgos, anlisis de riesgos y evaluacin de riesgos. El objetivo final del proceso siempre es la reduccin del riesgo a un nivel aceptable, lo que significa que el costo del tratamiento no debe superar el costo resultante del riesgo. Los hackers y crackers estn cada vez ms activos. Los males del mundo real estn cada vez ms presentes en el mundo virtual, en un escenario complejo de redes interconectadas. Una encuesta realizada por AON con 320 dirigentes de diversos sectores, en 29 pases, revel que el riesgo ms temido por las grandes empresas es el dao a la reputacin de la organizacin seguido de cerca por la interrupcin de los negocios y por la responsabilidad civil. Podemos ver que todos los grandes temores estn directamente relacionados a la informacin, a la integridad y a la disponibilidad apropiada. La confianza y la credibilidad son la base de nuestra sociedad y pueden ser ampliamente afectadas por la informacin. Cmo implementar una gestin adecuada de riesgos? En mi opinin, y de muchos autores, la mejor manera es elegir la estructura de trabajo ms adecuada y conseguir el compromiso de la alta administracin. Normas y directrices no faltan. Intente marcar las palabras normas, gestin y riesgos en Bing: miles de enlaces le indicaran buenos caminos. Elija aquellos que le parezcan ms adecuados, busque expertos, ponga en prctica soluciones automatizadas de anlisis de riesgos para ayudar en la toma de decisiones. Por ltimo, tenga en cuenta que no es posible eliminar el 100% de los riesgos. Gestionar riesgos es descubrir cual es el nivel de riesgo aceptable para su negocio o para su vida. Depender de orculos es algo del pasado, donde todo pareca estar determinado por el destino y por un ser superior que decida por nosotros. Para
19
crecer y, sobre todo, ser ms competitivo, es necesario y urgente atreverse. Y atreverse en italiano es riscare, es decir, el poema del autor desconocido (al menos para m) sigue siendo una gran verdad intentar algo es arriesgarse al fracaso, pero si uno no intenta nunca sabr el resultado de su decisin, y por lo tanto es misterio y misterio es, sobre todo, vida.
20
Captulo 4
Aspectos tecnolgicos, humanos y financieros

Edison Fontes En este captulo, destacamos un aspecto que debe tenerse en cuenta en el Plan Estratgico de Seguridad de Informacin (PESI) en las organizaciones, independientemente de su tamao o tipo de negocio. Se trata del aspecto humano, que es tan importante como la cuestin tcnica y financiera. Creemos que el equilibrio correcto de estos tres elementos permite lograr el xito de la planificacin y de la ejecucin del proceso de seguridad de informacin.
La seguridad de sistemas de informacin no debe incluir nicamente los aspectos tcnicos. Las particularidades sociales relativas a la organizacin y a las personas tambin tienen su importancia y deben ser consideradas. Debido a que, histricamente, la seguridad de informacin empez en el rea tcnica de procesamiento de datos, los aspectos sociales de la organizacin y de las personas se han dejado de lado o no tuvieron prioridad o, en casos extremos, han sido completamente olvidados. Esto puede ser una buena explicacin para muchas empresas, pero ciertamente no justifica el desinters o la falta de consideracin, por muchas organizaciones, hacia los aspectos relativos a las personas, ya sean considerados individualmente o en grupos . Necesitamos reglas explcitas, suficientemente rgidas para que sean cumplidas por todos. Pero ms que eso, necesitamos personas que entiendan la razn de ser de las reglas de proteccin de la informacin y que las respecten, no por miedo sino porque estn de acuerdo con la organizacin en trminos de proteccin del negocio y de que el xito del negocio es el xito de todos. Esto no significa que todos estarn de acuerdo con todas las normas, reglamentos y polticas, sino que todos tendrn una actitud profesional hacia la seguridad de informacin. En relacin a los aspectos tcnicos, llamamos la atencin para el hecho de que a menudo los profesionales de seguridad de informacin se centran nicamente en la proteccin del recurso sin preocuparse con los factores de gestin y otros que permiten una adecuada planificacin y ejecucin del proceso de seguridad de informacin con ms posibilidades de xito. El profesional de seguridad de informacin debe tener una visn amplia de todo lo que puede contribuir al xito de la seguridad de informacin (y de todo lo que puede perjudicar), comenzando con la planificacin y cristalizndose en su implantacin. El tercer aspecto fundamental que debe incluirse en el proceso de seguridad de informacin es la cuestin financiera que permite el uso de los bienes y recursos de informacin y recursos de proteccin.
1. Introduccin
2. Definiciones
2.1. Aspectos sociales Son los aspectos relacionados a las personas y al entorno en que viven y trabajan. 2. 2. Aspectos tcnicos Son los aspectos relacionados a la tecnologa y a sus recursos.
La elaboracin de un plan es esencial para la implantacin de un proceso de seguridad de informacin. A continuacin, consideramos los principales puntos que deben ser observados: La seguridad de informacin es rica en actividades operativas. En funcin de las deficiencias existentes, somos obligados a comenzar de inmediato por las acciones que son importantes. Sin embargo, el peligro es que nos limitemos a las actividades operativas. Puesto que es un elemento importante para la organizacin, es esencial disponer de un plan estratgico elaborado, que debe ser validado por la alta administracin de la organizacin, y orientar la direccin de los caminos que los proyectos y las actividades deben seguir. El PESI
3. Planificacin de la seguridad de informacin
21
debe incluir directrices bsicas que tienen que proteger a la estrategia que ser adoptada. Entre ellas, tenemos en cuenta: a) El alineamiento de las polticas de la organizacin y de la legislacin - todas las acciones destinadas a la seguridad de informacin deben respetar la legislacin actual del pas y deben cumplir las polticas de la organizacin. b) Consideracin a las iniciativas de negocio la realizacin de los negocios es la accin ms importante, puesto que de ella depende la supervivencia de la organizacin. La seguridad debe garantizar el uso adecuado de la informacin en diversas iniciativas, ya que una proteccin extrema puede inhibir la realizacin de negocios. c) Definicin de la estructura y forma de actuacin del rea de seguridad - esta cuestin debe definir algunos puntos, como a continuacin: Si el rea de seguridad de informacin utilizar sus recursos propios o de otras reas para los proyectos; Cul es la posicin organizacional del rea de seguridad de informacin; Cul es el alcance de actuacin del rea de seguridad de informacin. d) ) Definicin de donde vendrn los recursos financieros la procedencia de los recursos financieros para viabilizar la ejecucin de diversos proyectos, as como la utilizacin por la organizacin de varios recursos de informacin deben definirse durante la planificacin del proceso de seguridad de informacin. En este momento, tambin deben aclararse las responsabilidades (en relacin a los recursos financieros) de las reas de usuarios, tcnicas y de seguridad de informacin. e) Arquitectura de seguridad de informacin - el proceso de seguridad de informacin debe seguir una arquitectura y es importante que sea algo que pueda ser desplegado. Despus de todo, ella permite una visin completa del abordaje de la proteccin. En mi libro Vivendo a Segurana da Informao, sugiero una arquitectura prctica. f) Ser humano - el compromiso del usuario es un pilar para que la seguridad de informacin sea eficaz para la organizacin. Es necesario que ese usuario sea especficamente capacitado: Concientizacin en seguridad; Conocimiento de las polticas, normas y procedimientos; Conocimientos tcnicos sobre cuestiones que le afectan. g) TTecnologa para acciones de proteccin - el uso de la tecnologa es necesario para la proteccin en el ambiente informtico. La organizacin, a travs del rea de seguridad, debe utilizar todos los recursos disponibles para la proteccin de la informacin, por supuesto, de manera profesional y coherente y con sus recursos financieros. A menudo, el profesional de seguridad de informacin, presionado por la situacin de la organizacin, se centra nicamente en este aspecto de las soluciones tecnolgicas para la proteccin de la informacin. Situaciones como estas pueden existir, pero transitoriamente. Para implementar un proceso eficaz de seguridad de informacin, no hay que centrarse en este aspecto. Figura 1. Estructura del PESI.
22
4. Aspectos sociales
4.1. Reglamentos Los reglamentos (polticas, normas y procedimientos) proporcionan la construccin y explicacin de los puntos considerados como estndar de conducta. Las personas deben respetar estos reglamentos, de lo contrario violaran las reglas de convivencia con la organizacin. Para una mejor comprensin, es importante que estos documentos sean objetivos, claros y transmitan lo esencial. Es decir, cuando hablamos de poltica nos referimos a la cultura de la organizacin en relacin al tema seguridad de informacin. Debe tener pocas pginas y decir explcitamente lo que se desea. No hay que entrar en detalles sobre cmo hacer, ya que las normas y procedimientos particularizaran esas informaciones. Es importante para el aspecto social que la principal poltica de la organizacin para la seguridad de informacin sea firmada por el presidente. Al leerla y ver que fue firmada por el presidente de la organizacin, el personal entender ms fcilmente la importancia de la seguridad de informacin para el negocio. Los reglamentos sobre seguridad de informacin deben ser siempre recordardos a los usuarios en capacitaciones peridicas. Deben ser de fcil acceso, por ejemplo, a travs de la intranet de la organizacin. Por supuesto, junto con la existencia de estos documentos, es esencial que las normas descritas sean cumplidas por todos, incluyendo el presidente. Las personas tienen que entender que las reglas deben ser respetadas por toda la organizacin. 4.2. Cultura organizacional Este aspecto social se construye con el tiempo. Cuando llevamos a cabo un proceso de seguridad de informacin, debemos considerar la cultura de la organizacin. Siempre que posible, debemos definir los controles de seguridad respetando esta cultura. Eso no significa que este proceso se curvar y no ofrecer la proteccin adecuada de un recurso en caso de que viole la cultura. Esto significa que, cuando se implementa un control, hay que considerar su impacto sobre el personal y la cultura organizacional existente. La implantacin de un proceso de seguridad de informacin en el gobierno es muy diferente de la implantacin en una empresa de publicidad, por ejemplo. Sin embargo, ambos despliegues tratan de proteger adecuadamente la informacin necesaria al xito del negocio y/o al logro de los objetivos de la organizacin. Sin embargo, la cultura organizacional tambin se crea. Normalmente, para que el proceso de seguridad de informacin ocurra correctamente es necesario que los requisitos de seguridad sean considerados al principio del desarrollo de los sistemas. En la vida prctica de las organizaciones, esta rea est a menudo involucrada en los nuevos sistemas en la fase de implantacin del sistema en produccin. En este caso, debe haber un cambio en la cultura organizacional en relacin al proceso de desarrollo de sistemas para que los requisitos de seguridad sean discutidos y su utilizacin sea validada en la especificacin tcnica del desarrollo de sistemas. Por lo tanto, considerar la cultura organizacional es una carretera de doble sentido. La seguridad considera las caractersticas de la organizacin, que debe desear que la seguridad proteja adecuadamente la Informacin, aunque (de hecho, casi siempre), esto implique un costo de tiempo y de esfuerzo en los procesos. 4.3. Ambiente organizacional El ambiente organizacional es el aire de todos los pensamientos y sentimientos relativos a la organizacin que respiramos. Cuanto mejor el entorno de la organizacin, ms chances de xito del proceso de seguridad de informacin. Este aspecto es fundamental y ser un acelerador o un impedimento para que la informacin sea adecuadamente protegida. Esto no significa que organizaciones que tienen un ambiente malo no pueden implementar un proceso de seguridad de informacin. Pueden y deben. Sin embargo, el profesional del rea debe estar atento, pues no ser una tarea fcil. Ms importante que el nivel del ambiente de la organizacin es la causa. Su nivel es apenas una imagen. De. bemos estar conscientes y controlar la causa. Si una organizacin es adquirida por otra o deja de actuar en el pas, evidentemente, el ambiente ser tenso y triste. Esta situacin es muy diferente de una organizacin que histricamente tiene un programa muy rgido de
23
bsqueda de culpables, caza de brujas (incompatible con el negocio) en relacin a las actitudes de los empleados o de terceros y otras situaciones equivalentes. Una organizacin cuyos empleados y prestadores de servicios estn contentos con el trabajo, orgullosos de los logros de todos y dispuestos a seguir en ese ambiente en los prximos cinco aos, ser capaz de implantar el proceso de seguridad de informacin ms facilmente. Esto no significa que todos pensaran que esas acciones son maravillosas. Esto significa que todos tendrn una actitud profesional hacia las polticas, reglas y procedimientos de proteccin de la informacin. En conclusin, la falta de confianza entre las personas, un ambiente de hostilidad, una rebelin contra la organizacin y otros problemas no impiden la implantacin de un proceso de seguridad, pero dificultan bastante. 4.4. Proceso continuo de capacitacin Cuando una organizacin tiene un proceso de capacitacin continua, es ms fcil desarrollar un proceso de concientizacin en seguridad de informacin, que, a su vez, contribuye para que el ambiente de trabajo de las personas permita un constante crecimiento profesional y humano de los empleados o proveedores de servicios. A medida que la persona se siente parte de las capacitaciones y otras acciones, el ambiente social se vuelve ms positivo. Al ingresar en la organizacin, todos tienen que recibir capacitacin inicial en seguridad de informacin, adems de capacitaciones peridicas sobre el tema, tanto enfocado en la concientizacin como con un enfoque ms tcnico. La realizacin de campaas de seguridad es recomendable, pero ellas deben ser parte de un conjunto de medidas practicadas por toda la organizacin. Hoy en da, ya existen elementos que ayudan en este proceso: conferencias, libros, teatro corporativo, entre otros. 4.5. Profesionalismo Muchas organizaciones aun tienen un ambiente amador en las relaciones con sus empleados y entre ellos. Un proceso de seguridad de informacin ser ms exitoso en un entorno profesional. El amateurismo/informalidad en cuestiones corporativas aparece ms en empresas medianas y familiares (independientemente del tamao) y est estrechamente vinculado a la cuestin de las polticas, normas y procedimientos. Organizaciones guiadas por el profesionalismo desarrollan y despliegan ms fcilmente dichos reglamentos.
5. Aspectos tcnicos
5.1. Actualizacin de la tecnologa Estamos en un mundo que tiene una velocidad fantstica en el intercambio y avance de la tecnologa, haciendo que el negocio utilice cada vez ms estos nuevos recursos. As pues, la seguridad de informacin debe alcanzar esta nueva tecnologa y definir cuales sern los nuevos controles. Este hecho a menudo hace que la cuestin est (teniendo en cuenta el cronograma) atrs de las iniciativas de la empresa. Debemos garantizar que esta diferencia sea aceptable y no ponga el negocio en riesgo. Tenemos que considerar cmo el rea de seguridad de informacin se mantendr actualizada en trminos de tecnologa. Para eso, las formas varan desde una solucin interna hasta la utilizacin de un aparcero. Lo importante es que el responsable del rea de seguridad de informacin sepa eso. 5.2. El proveedor de la solucin Cuando una organizacin adopta una solucin o un proveedor de tecnologa, se hace dependiente de esa solucin o proveedor de recursos. Por lo tanto, es muy importante que siempre se considere la continuidad de la solucin (o proveedor). En los ltimos aos, hasta empresas sanas han sido adquiridas por otras organizaciones que simplemente congelaran la solucin de las sociedades adquiridas, obligando a los clientes a utilizar la solucin de la organizacin compradora. Sin embargo, estos acontecimientos no deben impedir la utilizacin de aparceros. Ningn hombre es una isla. Ninguna organizacin sobrevive sola. Necesitamos aparceros y siempre tendremos aparceros. Tenemos
24
que tener una visin profesional que nos permita analizar y gestionar el riesgo que estas relaciones y dependencias representan a la organizacin. 5.3. Requisitos de seguridad deben ser mantenidos No es porque estamos utilizando una nueva tecnologa o solucin que los requisitos de seguridad deben ser dejados de lado. La indicacin individual, el registro de accesos, el control de acceso, las copias de seguridad, la continuidad del negocio, etc son aspectos de la seguridad de informacin que deben ser considerados siempre, independientemente de la solucin o de la tecnologa. Cada profesional del rea debe conocer sus requisitos principales, que son validos hace muchos aos y seguirn siendo validos por muchos ms. A veces, la tecnologa disponible no facilita, y otras veces, posibilita y facilita la implantacin de requisitos especficos. No debemos confundir los requisitos de seguridad con las facilidades que la tecnologa nos ofrece para implantar estos requisitos.
La planificacin y la implantacin del proceso de seguridad de informacin necesitan recursos financieros para su ejecucin. Yo personalmente creo que todas las organizaciones son capaces de planificar, implementar y mantener un proceso de seguridad de informacin. Todos tienen recursos financieros suficientes para tener una proteccin de la informacin compatible con el tamao y su negocio/objetivo. Hay que identificar como los recursos financieros llevaran a cabo el procedimiento de seguridad. Es decir, quien pagar el proceso de seguridad. Por ejemplo: la compra del equipo tipo firewall y sus respectivos productos sern pagados por el rea de tecnologa o por el rea de seguridad de informacin? Es necesario que este aspecto sea explcito para que la planificacin de los recursos financieros est sincronizada con el cronograma de planificacin, desarrollo y mantenimiento del proceso de seguridad de informacin.
6. Aspectos financieros
La seguridad de los sistemas de informacin no es una actividad trivial, pues debe considerar tanto los aspectos tcnicos como los aspectos sociales y organizacionales. Cada uno de los puntos sealados puede (y debe) ser subdividido. Es importante entender este concepto y aplicarlo en el momento de la implantacin y manutencin del proceso de seguridad de informacin en una organizacin.
7. Conclusin
25
Captulo 5
Servicios internos
Christiane Mecca El gran desafo que enfrentan los CIOs (Chief Information Officers) en el escenario actual es el alineamiento del trabajo del rea de tecnologa de informacin (IT) con la estrategia de negocios de la organizacin. Los servicios ofrecidos en el pasado tuvieron como principales caractersticas la atencin al usuario, el enfoque en la tecnologa, el uso de recursos internos y el comportamiento reactivo. A medida que TI comenz a trabajar para servir a sus clientes y procesos internos, generando valor para la organizacin y maximizando el retorno de las inversiones en el rea, nuevos conceptos, tales como mejores prcticas y calidad del servicio, fueron introducidos en el escenario actual. Actualmente, el servicio de atencin al cliente, el enfoque en el proceso y el comportamiento dinmico son muy valorados. Hasta el cumplimiento de la demanda interna de los procesos de negocio y sus certificaciones de calidad como ISO 9001, ISO/TS: 16494 y muchos otros, hicieron que el departamento de TI reevaluara sus servicios, para estructurarse a fin de satisfacer los requisitos de estas normas. Como proceso de apoyo de los principales procesos de la organizacin, es necesario identificar los requisitos de las normas que inciden directamente en el desempeo de los procesos principales, y que son pasibles de auditoras internas y externas. TI debe prepararse, no para obtener la certificacin del proceso, sino para cumplir con los requisitos mnimos que impactan los procesos clientes. Cuando hablamos de servicios de TI, es esencial que hablemos de ITIL (Information Technology Infrastructure Library) - un conjunto de mejores prcticas para satisfacer las demandas de los escenarios actuales. De acuerdo con dicho ITIL, servicio significa uno o ms sistemas de TI que permiten un proceso de negocio. El sistema se basa en hardware, software, personas y procesos. ITIL puede ser considerada como una referencia para establecer servicios de calidad integrando personas, procesos y tecnologa, y gestionando TI como un negocio de la organizacin. El valor del servicio de TI es percibido a travs de la alineacin con la estrategia de la organizacin, costo, tiempo de respuesta a las demandas internas y calidad. La gestin de servicios de TI con calidad exige un equilibrio de las demandas internas y de los recursos disponibles, con los costos aprobados por el negocio. El nivel de servicio ofrecido y aceptado por el negocio, SLA (Service Level Agreement) es un indicador de desempeo y calidad del proceso de TI. A travs de l, podemos medir la satisfaccin del cliente, es decir, cmo percibe el servicio proporcionado. Cuando los niveles de los servicios que afectan el desempeo de los negocios, como la disponibilidad de sistemas crticos, las infraestructuras de red, help desk, suministro de equipos de TI, etc., no llegan a los niveles acordados, deben utilizarse como parmetros para el proceso de mejora continua del proceso de TI. Un plan de accin debe ser desarrollado y presentado a las reas de negocio de la organizacin.. El desarrollo y la implantacin de controles internos son fundamentales para evaluar la madurez de la gestin de servicios de TI y garantizar la alineacin con la estrategia y los procesos de negocio. Bibliografa FOINA, Paulo Rogrio. Tecnologia da informao planejamento e gesto. 2 Ed. So Paulo: Atlas, 2006. MAGALHES, Ivan Luizio, PINHEIRO, Walfrido Brito. Gerenciamento de servios de TI na prtica: uma abordagem com base na ITIL. So Paulo: Novatec, 2007.
26
Captulo 6
Proveedores externos
lvaro Tefilo En este captulo, vamos a tratar de los desafos de una organizacin al contratar servicios externos. Veremos tambin los desafos que estos terceros representan en el cotidiano de la gestin de seguridad, en relacin al cumplimiento tanto de los plazos de los SLAs (Service Level Agreement) como de las polticas vigentes en su organizacin.
Un nmero creciente de organizaciones decide externalizar parte de sus operaciones. Muchos comenzaron este campo contratando aparceros para el suministro de servicios de tecnologa y de operaciones muy especficas (como los call centers) para otras empresas grandes y medianas, para que ellas hicieran lo que hasta ese momento era responsabilidad de los empleados de la organizacin. La razn principal de subcontratar es sin duda la reduccin de los costos directos e indirectos que un servicio genera para la organizacin. Adems, la especializacin de algunas empresas en la ejecucin de algunas tareas atrae a muchos dirigentes, que necesitan un servicio de calidad, con mayor libertad para alinearse al negocio y ofrecer nuevos servicios a la organizacin. Sin embargo, es cada vez ms comn que las operaciones de back office, incluso servicios que son considerados core business, a saber, el alma del negocio de las organizaciones, sean transferir a un aparcero de negocios. Aunque fuera de lo habitual, ya existen diversas iniciativas que indican que las organizaciones, tratando de aumentar la eficiencia, decidieron subcontratar algunas de sus operaciones ms importantes, llamando la atencin para la necesidad de entender y abordar los impactos de estas decisiones desde el punto de vista de los riesgos. Subcontratar servicios necesarios que no son el core business de la organizacin y que tienen un alto costo administrativo, como un call center, puede tener un excelente rendimiento. Al subcontratar una operacin importante para el negocio, el aparcero seleccionado debe tener reputacin y tamao para asumir los problemas operativos de esta funcin.
1. Introduccin
Independientemente del grado de profundidad de la externalizacin en una organizacin, uno debe asumir, dentro de cada corporacin, el papel de orientar a los hombres de negocios y de tecnologa sobre las preocupaciones que deben abordarse en el momento de una externalizacin de las operaciones. Obviamente, es necesario que la organizacin entienda la importancia de esta decisin y las consecuencias de la falta de evaluacin y gestin operativa de riesgos. Con esta cuestin reconocida, cada organizacin debe definir quin gestionar los riesgos de las operaciones subcontratadas. Normalmente, hemos visto la propia rea de seguridad de informacin como lder de la gestin de aparceros en grandes organizaciones. En este sentido, es importante sealar algunas cuestiones: a) La subcontratacin debe tener un gerente, responsable del respecto de las mtricas y del cumplimiento de los SLAs. b) El apoyo jurdico es importante en el momento de establecer los SLAs y las sanciones en caso de incumplimiento. c) No subestime el impacto de una mala contratacin sobre la operacin. La responsabilidad sigue siendo del gerente, y para los clientes, los problemas sern siempre de la organizacin.
2. Gestin de aparceros de negocios
Una de las preguntas ms comunes sobre la subcontratacin es: por dnde empezar la gestin? En primer lugar, tenga en cuenta que existen dos mundos que deben trabajar en paralelo: a) gestin de servicios y operaciones que ya estn externalizadas; y b) gestin de nuevas subcontrataciones.
3. Quin, cuando y qu evaluar
27
La gestin de riesgos de servicios ya contratados debe comenzar a partir de un estudio completo de todos los servicios subcontratados. Algunas otras reas internas podrn ayudar en su bsqueda, especialmente las reas de gestin de contratos, jurdico, compras e incluso tecnologa. Habr que nombrar una persona o equipo que ser responsable, dentro de su rea, de esta tarea a tiempo completo. La separacin de estas operaciones por nivel de criticidad para los negocios supone un esfuerzo razonable y, en este sentido, encontramos dos variables que pueden darles peso y nos ayudan a determinar la prioridad de las evaluaciones: a) Cuanto ms dependiente de la operacin subcontratada, ms prioridad se debe dar a la gestin de riesgos. Es importante aclarar que la dependencia se refiere a la importancia de la operacin para la organizacin y, por supuesto, como la falta de entrega de sus servicios puede afectar el negocio. b) El almacenamiento de informaciones de los clientes debe ser visto como un factor crtico en la evaluacin de los aparceros. La posibilidad de fuga de una base de datos o de un incidente relacionado a la divulgacin de la informacin del cliente puede resultar en una grave exposicin de la imagen de la organizacin, cuyas consecuencias son siempre difciles de medir. Evale el nivel de dependencia de la operacin subcontratada y la sensibilidad de las informaciones confiadas a terceros.
El primer paso de este trabajo debe ser en conjunto con el departamento jurdico. La existencia de clusulas de responsabilidad, privacidad y seguridad se debe evaluar por contrato, lo que resulta en un esfuerzo razonable para los abogados y gestores. Se debe tambin incluir en el aditamento una clusula que establezca que la empresa se compromete a adoptar todas las polticas y medidas de seguridad que la contratante requiere y a aceptar la existencia de auditoras peridicas que evaluarn su nivel de adaptacin a estas polticas. Estas clusulas tambin sern utilizadas en los nuevos contratos firmados por la organizacin en el futuro. La existencia de clusulas no debe considerarse como una premisa para el comienzo del trabajo de evaluacin, pero las organizaciones suelen ver esta cuestin de manera muy conservadora. Si, por ejemplo, la relacin entre el contratista y la contratada es buena, es muy probable que la evaluacin de riesgos pueda hacerse antes del aditamento. Con la lista de operaciones crticas en manos y despus de resuelta la cuestin contractual, es necesario definir el nivel y la profundidad de las evaluaciones de riesgo. En ese momento, la organizacin deber preparar cuestionarios que incluyan todas las disciplinas de seguridad que desee evaluar, tales como la existencia de polticas de seguridad, la gestin de la seguridad de una red, el cumplimiento de las leyes y compliance, entre otros. Una buena herramienta est disponible en Internet y puede ser usada por cualquiera. Creada por BitsInfo, el proceso nombrado Financial Institution Shared Assessment Program produjo una hoja de clculo que cubre las principales acciones y procesos de gestin y control de riesgos de seguridad en entornos fsicos y lgicos. La hoja de clculo est disponible en el sitio de la institucin, en www.bitsinfo.org
4. Evaluando y monitoreando riesgos
Despus de desarrollar y definir los cuestionarios, hay que construir un proceso con distintas etapas que indiquen el comienzo, medio y fin del proceso, incluyendo, al menos, diez puntos: 1) Enviar una carta al proveedor de servicios, informando la existencia del proceso de evaluacin de riesgos y solicitando su aprobacin, as como requiriendo la asignacin de un gerente o director responsable de satisfacer la demanda; 2) La definicin del alcance del trabajo basado en la realidad de cada operacin; 3) La definicin del cronograma por las partes; 4) Envo y devolucin de los cuestionarios a las personas responsables en la empresa asociada; 5) Una visita al site para pruebas de los controles declarados por el proveedor;
5. Implantando el proceso
28
. ) Preparacin de un borrador de un informe que muestre los primeros resultados del trabajo, que se debe 6 utilizar como base para un debate con el aparcero; 7) Emisin de un informe final, indicando el nivel de cumplimiento del aparcero con las prcticas exigidas por la organizacin; 8) La determinacin de un plan de accin de mejoras, si necesario, as como la obtencin del compromiso de la empresa aparcera declarada; 9) Monitoreo de la aplicacin de los puntos pendientes de acuerdo a los plazos establecidos entre las partes; 10) La re-evaluacin peridica (cada ao, por ejemplo) del proceso, pasando por todas las etapas anteriores. Note que este proceso tambin puede aplicarse a la segunda dimensin de trabajo que destacamos en este documento. La subcontratacin de nuevas operaciones puede utilizar los mismos pasos para ayudar a las reas de negocios a evaluar empresas candidatas. Hemos tenido experiencias muy positivas en relacin a este tema, y hemos notado que, cuando apoyados desde el primer momento en que deciden subcontratar una operacin, los empresarios utilizan nuestras evaluaciones como uno de los principales factores para decidir qu empresa contratar. En este momento, tambin tuvimos una idea clara que la gestin de riesgos en operaciones externalizadas suele ser ignorada por la simple falta de conocimiento y experiencia de los gerentes de empresas. Se trata de una cuestin cultural que nosotros, administradores de seguridad de informacin, podemos trabajar en la empresa y generar excelentes resultados en la relacin entre la seguridad y los negocios. En este caso, estrechamos relaciones, generamos valor para los negocios y tenemos una idea mucho ms clara de los riesgos asociados a este tipo de operacin. Finalmente, con la clara tendencia del mercado de subcontratacin como un factor de ganancia y eficiencia, calidad y reduccin de costos, es imperativo que un proceso muy bien definido garantice que la gestin de riesgos operativos y de seguridad haga parte de las evaluaciones de nuevas aparceras.
29
Captulo 7
Mejores prcticas
Valmir Schreiber Andr Pitkowski
Uno de los principales desafos de TI de la actualidad es la estructuracin de los esfuerzos para lograr el cumplimiento de los criterios de SOX (Sarbanes-Oxley), de las circulares del gobierno, de los contratos y de PCI (Payment Card Industry). En general, la mayora de las empresas entiende que necesita mantener estructuras de proteccin y seguridad para sus sistemas y datos, pero tiene dificultades en entender cuan detalladamente o ampliamente estos requisitos deben ser interpretados. En este punto, las estructuras de los controles internos, tales como COBIT (Control Objectives for Information and Related Technology), ITIL (Information Technology Infrastructure Library) o ISO 27001 (estndar relacionado a la seguridad de informacin) pueden ayudar. Las estructuras de control y gobernanza como COBIT, ITIL o catlogos de prcticas como ISO 27001 pueden ayudar a las empresas de tres maneras: Explicando las dimensiones de los requisitos de seguridad y gobernanza; Demostrando las varias opciones para cumplir con estos requisitos, y Estructurando un programa de conformidad.
1. Introduccin
1.1. Las dimensiones Es fcil pensar en los aspectos de conformidad como mecanismos que pueden ayudar a los profesionales de TI a alcanzar sus objetivos de seguridad. Por ejemplo, los profesionales de seguridad que piensan en sus firewalls, autenticacin y mecanismos de autorizacin al considerar cmo la informacin debe ser protegida. Una forma ms productiva es ver la seguridad bajo la perspectiva de qu y cmo la organizacin suele protegerse. Las estructuras de control requieren una evaluacin de riesgos y la clasificacin de las informaciones y de los activos a proteger antes de decidir cmo protegerlos. Al considerar los riesgos asociados a una actividad de conformidad, la evaluacin de riesgos obligar la organizacin a ver cules de sus informaciones y procesos impactarn la precisin, transparencia y responsabilidad final en relacin a sus informes financieros. La identificacin y el proceso de evaluacin de riesgos permiten que la organizacin defina el alcance de las actividades de conformidad y los riesgos que debern ser mitigados. Las estructuras de control tales como COBIT e ITIL exponen el hecho de que la seguridad es algo ms que los controles sobre los sistemas y aplicaciones. El alcance total de la seguridad incluye la manera cmo una organizacin est estructurada - los checklists preparados para desarrollar, mantener y auditar los procesos de negocio que estn incluidos en el alcance de Compliance. Incluya en este alcance las actividades internas y externas, y los prestadores de servicios y los contratos con terceros, por ejemplo. 1.2. Los mecanismos Las estructuras de control ayudan en la identificacin de las ofertas de mecanismos, servicios y metodologas que las organizaciones pueden utilizar para mitigar los riesgos. Mientras los tcnicos tienden a establecer soluciones tcnicas, los estndares de COBIT, ITIL e ISO enfatizan la necesidad de polticas y procedimientos basados en procesos de negocios debidamente estructurados para gestionar riesgos. Por ejemplo, hay momentos en que los mecanismos ms eficaces para asegurar que slo los usuarios adecuados tengan acceso a la informacin financiera de la organizacin se refieren a la implicacin de las personas adecuadas en la aprobacin y certificacin de estos controles de acceso. Algunas organizaciones pueden eliminar la necesidad de mecanismos de seguridad, simplemente configurando polticas que declaren que las informaciones sensibles a los negocios deben estar incluidas en determinados ambientes de procesamiento de
30
datos debidamente protegidos y deben ser trasmitidas de una manera particular. Esta medida compensatoria simplifica enormemente la tarea de cumplimiento.
. na parte importante a considerar en el texto de un documento de compliance debe referirse al proceso U de mejora continua del propio compliance, que, como cualquier reglamentacin, contrato o estndar, requiere un enfoque cclico y estructurado para la consecucin de los objetivos. El COBIT presenta y describe los siguientes procesos, que tambin pueden ser encontrados en otras estructuras de control: Fijar metas especficas para el contexto del negocio y de la organizacin de la empresa; Seleccin de controles para cumplir estos objetivos; Organizar y poner en prctica estos controles; Evaluar la eficacia de los controles; Repetir el proceso. En la medida en que el negocio evoluciona y se adapta al mercado, el ambiente de trabajo sigue estos cambios. Crece, encoge, ofrece nuevos productos, instala nuevos procesos o se expone a nuevas amenazas. Si los riesgos cambian, los controles siguen esos cambios. Hay que pensar que una prctica que hoy es considerada buena puede no cumplir las exigencias del mercado de maana. En otras palabras, es necesario un proceso que se adapte y reconozca los cambios del negocio para las actividades de compliance, es decir: una estructura de control. El pblico objetivo de COBIT es la alta administracin de organizaciones, directores y gerentes de TI y auditores en general. COBIT se divide en cuatro secciones: Evaluacin ejecutiva; Estructura; Contenido principal (objetivos de control, gua de gestin y modelos de madurez); Anexos (mapas, referencias y glosario). La seccin de contenido principal se divide en 34 procesos, siendo que cada uno de ellos est descrito en cuatro secciones de cerca de una pgina cada una. Cada subseccin incluye: Visn general de los objetivos de control, que incluye un resumen de los objetivos del proceso, mtricas y prcticas; Una descripcin de los objetivos y un mapeo del proceso y sus dominios, criterios de informacin y recursos de TI; Objetivos detallados de los controles de los procesos, que proporcionan un total de 214 indicadores divididos entre los 34 procesos; Guas de gestin, incluyendo entradas y salidas del proceso, la tabla RACI (responsible, accountable, consulted, and informed), las metas y las mtricas; Modelo de madurez para el proceso, orientada a la accin. Este material est destinado a ayudar a las organizaciones a contestar preguntas tales como: Cmo la empresa pretende invertir? Son los costos justificados por los beneficios? Cules son los indicadores que miden el buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos si no se alcanzan los objetivos de la organizacin? Qu otras organizaciones como la ma estn haciendo? Y como hacen para medir y comparar? 2.1. Un modelo unificado COBIT contempla los modelos establecidos, tales como CMM (Capability Maturity Model o Modelo de Madurez de Capacidad), del Instituto de Ingeniera de Software, ISO 9000, ITIL e ISO 27001 (modelo de seguridad estndar, ahora ISO 27001). De hecho, 13 de los 34 objetivos de control de alto nivel son derivados directamente del ITIL Service Support e Service Delivery.
2. CobiT
31
En funcin de su gran alcance y tambin porque se basa en muchas prcticas existentes, COBIT puede actuar como un integrador que lleva prcticas dispersas bajo un modelo nico, y ayuda a alinear las actividades con los objetivos del negocio. Centrndose en gobernanza de TI, proporciona un amplio y genrico modelo, lo que hace con que sea aplicable en la mayora de las organizaciones. Se pueden utilizar otros estndares que cubran reas especficas con ms detalles, tales como ITIL e ISO 27001, y que, junto con el COBIT, permitan crear una mejor orientacin a los resultados.
El ITIL proporciona directrices para mejores prcticas de procesos de ITSM (o de gestin de servicios de TI) para alinear mejor la TI a los negocios. COBIT ayuda la organizacin a moldar los procesos de ITIL a sus necesidades y objetivos, y a establecer un punto de partida y un punto final, es decir, evala donde la organizacin est ahora y hacia dnde quiere ir. Teniendo en cuenta estos objetivos, es posible crear o desarrollar las actividades para lograr este objetivo. 3.1. ITIL visin general El ITIL puede ser definido como una gua para mejores prcticas de los procesos de TI. Desarrollado en la dcada de 80 por OGC (Office of Government Commerce), una agencia del gobierno britnico, el ITIL define los procesos en alto nivel, dejando a las organizaciones la tarea de implantar los procesos de manera ms satisfactoria a sus necesidades. El ITIL se ha convertido en un estndar mundial, despus que miles de organizaciones adoptaron esta gua como modelo de gestin de TI. La contribucin principal del ITIL es promover la alineacin de TI con el negocio. El ITIL define la calidad de servicio como objetivo y promueve la armonizacin entre los servicios a entregar y las necesidades actuales del negocio. Las organizaciones que quieren certificar sus reas de TI en gestin de proceso podrn hacerlo a travs del ISO 20000, basado en ITIL. Aunque el ITIL tiene una amplia cobertura, su objetivo principal es el ITSM. El ITIL proporciona un modelo completo, consistente y coherente de mejores prcticas para el ITSM y sus procesos, promoviendo un enfoque en la calidad, con el objetivo de lograr la eficacia empresarial y la eficiencia en el uso de los sistemas de informacin.
3. ITIL
4. CobiT e ITIL agregando resultados

4.1. Combinando CobiT e ITIL para enfrentar a los desafos de los negocios Las reas de TI estn cada vez ms bajo creciente presin para alinear los objetivos de negocio de sus organizaciones. Desafo que puede estar bajo la presin de cumplir con regulaciones como la Ley SOX y Basilea II. Este cumplimiento requiere gran capacidad de gobernanza, con claras evidencias para los auditores externos. Como representa una funcin tan importante para los negocios, el rea de TI est cada vez ms comprometida con la provisin de los medios para demostrar esa capacidad de enfrentar a esos desafos. Por esa razn, se basa en directrices como ITIL y COBIT para ayudar a comprender y abordar estos desafos. En este tpico, se discute como ITIL y COBIT pueden ser utilizados en conjuncin con una breve evaluacin de ambos y un anlisis de su complementariedad. El ITIL y el COBIT permiten que las organizaciones logren tres objetivos: Mediante el uso de mejores prcticas, gestionar los procesos adems de administrar la TI a travs de una perspectiva de negocio centrada en los resultados y conformidad; Centrarse en procesos con metas claras, basadas en los objetivos comerciales de la organizacin y proporcionar recursos que permitan esta medicin del progreso; Garantizar la efectiva gobernanza de TI al nivel de control de procesos y permitir que TI demuestre que cumple o excede los requisitos establecidos por el rea de negocios o por normas externas a TI.
32
Sin embargo, hay una cierta confusin en las reas de TI en relacin a estos modelos. Algunos piensan que son dos alternativas para un mismo objetivo, mientras que otros creen que son mutuamente excluyentes. De hecho, son altamente complementarios y en conjunto brindan mucho ms valor que si utilizados por separado. COBIT describe lo que usted necesita hacer para enfrentar a estos desafos, mientras que ITIL muestra cmo llegar hasta ese punto. 4.2. Combinacin de modelos Las organizaciones que desean adoptar el ITIL necesitan estructurar un modelo eficaz de gobernanza de TI. El COBIT ofrece un modelo amplio de gobernanza, que incluye directrices para ayudar a estructurar el rea de TI para los requisitos organizacionales. COBIT tambin proporciona un mecanismo para medir la capacidad de actividad (personas, procesos y tecnologa) para lograr un resultado que satisfaga los requisitos organizacionales, midiendo su desempeo. Aunque el COBIT se centra en los procesos de TI, no incluye las actividades o etapas del proceso. Se centra en lo qu la organizacin debe hacer en vez de cmo hacer. Se centra en las necesidades empresariales y establece lo que es necesario para cumplir estos requisitos. Por otra parte, el ITIL define las mejores prcticas de los procesos para el ITSM y cmo llegar a ese punto. Se centra en los mtodos y define un conjunto ms amplio de procesos que COBIT, proporcionando una gua para la construccin de estos procesos. COBIT e ITIL proporcionan una combinacin excelente para ayudar a las organizaciones a gestionar, desde una perspectiva de negocios, en un modelo conocido como Gestin de Servicios de Negocios (Business Service Management o BSM). Una vez ms: el ITIL ofrece directrices para mejores prcticas de procesos de ITSM para alinear mejor la TI con los negocios. El COBIT ayuda la organizacin a moldar los procesos de ITIL a sus necesidades y objetivos. Ayuda a la organizacin a establecer un punto de partida y un punto final, es decir, evaluando donde la organizacin est y donde quiere llegar. Teniendo en cuenta estos objetivos, es posible crear o desarrollar las actividades para lograr este objetivo. El COBIT tambin proporciona un mecanismo eficaz para gestionar y medir el progreso de la implantacin de los procesos de ITIL, ayudando la organizacin a comprender sus objetivos y medir el progreso para lgralos, en mejora continua - una de las mayores contribuciones de proyectos basados en ITIL. Para una mejor comprensin, proponemos el uso del documento Alineando COBIT, ITIL, ISO 2000 e ISO 27001 para Resumen de Gestin de Beneficios de Negocios (Aligning CobiT, ITIL, ISO 20000, and ISO 27001 for Business Benefit Management Summary), creado por las entidades ITGI (IT Governance Institute), OGC (Office of Government Commerce), itSMF (IT Service Management Forum) y BSI (British Standards Institution), que presenta una gua sobre la mejor manera de implantar la combinacin COBIT, ITIL e ISO 27000.
Hace ms de una dcada, el COSO (Committee of Sponsoring Organizations of the Treadway Commission) public la obra Internal Control Integrated Framework para ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Desde entonces, esta estructura se ha incorporado en las polticas, normas y reglamentos adoptados por miles de organizaciones para controlar mejor sus actividades, buscando lograr los objetivos de negocio establecidos. En los ltimos aos, el enfoque y la preocupacin con gestin de riesgos se intensificaron y se hizo cada vez ms evidente la necesidad de una estrategia slida, capaz de identificar, evaluar y gestionar riesgos. En 2001, el Coso comenz un proyecto para este fin y pidi a PricewaterhouseCoopers que desarrollara una estrategia de fcil aceptacin y utilizacin por parte de las organizaciones para evaluar y mejorar su propia gestin de riesgos. El perodo de desarrollo de esta estructura se caracteriz por una serie de escndalos y de quiebra de negocios, de gran repercusin, que gener importantes prdidas a los inversionistas, empleados y otras partes interesadas. A raz de estos acontecimientos, llegaran peticiones de mejora de procesos de gobernanza corporativa y gestin de riesgos, a travs de nuevas leyes, reglamentos y normas a seguir. Se hizo an ms necesaria una estructura de gestin de riesgos corporativos capaz de ofrecer los principios y conceptos fundamentales, con un lenguaje comn y una orientacin clara. El COSO cree que el objetivo de este documento Gestionando
5. COSO
33
Riesgos Corporativos - Estructura Integrada es llenar este hueco y espera que sea ampliamente adoptado por las empresas y otras organizaciones, as como por todas las partes interesadas. En los Estados Unidos, entre las consecuencias, se destaca la Ley SOX de 2002, y legislacin similar que est siendo promulgada o analizada en otros pases. Esta ley extiende el requisito de que las compaas que negocian acciones en las bolsas de valores de EE.UU. mantengan sistemas de controles internos, demanden la certificacin de la administracin y contraten los servicios de auditores independientes para certificar la eficacia de dichos sistemas. La obra Internal Control Integrated Framework, que est siendo sometida a la prueba del tiempo, sirve como una norma de amplia aceptacin para satisfacer las necesidades de comunicacin . La obra Gestionando Riesgos Corporativos - Estructura Integrada ampla su alcance en los controles internos, proporcionando un enfoque ms riguroso y completo del tema, ms exhaustivo, de gestin de riesgos corporativos, cuya estructura propuesta, aun no tenga la intencin de sustituir la estructura de controles internos de las organizaciones, incorpora la estructura de controles internos en su contenido. Adems, puede ser utilizado por ellas, tanto para satisfacer las necesidades de controles internos como para adoptar un proceso completo de gestin de riesgos. La premisa inherente a la gestin de riesgos corporativos es que todas las organizaciones existen para ge. nerar valor a las partes interesadas (propietarios, accionistas, inversionistas y controladores). Todas las organizaciones enfrentan a las incertidumbres del mercado en el que operan y el reto de sus directivos es determinar hasta que punto pueden aceptar esa incertidumbre y definir como ella puede interferir en el esfuerzo para generar valor a las partes interesadas. Las incertidumbres representan los riesgos y las oportunidades de negocio, con potencial para destruir o agregar valor. La gestin de riesgos corporativos permite a los administradores tratar con eficacia la incertidumbre, es decir, los riesgos y oportunidades asociadas, a fin de mejorar la capacidad de generar valor. El valor se maximiza cuando la organizacin establece metas y estrategias para lograr el equilibrio ideal . entre los objetivos de crecimiento y de retorno de las inversiones, considerando los riesgos asociados, y para explorar sus recursos con eficacia y eficiencia en la consecucin de los objetivos de la organizacin. El objetivo de la gestin de riesgos corporativos es: Alinear el apetito de riesgo a la estrategia adoptada: los administradores evalan el apetito de riesgo de la organizacin al analizar las estrategias, definiendo objetivos relacionados y desarrollando mecanismos para gestionar estos riesgos; Fortalecer las decisiones en respuesta a los riesgos: la gestin de riesgos corporativos permite rigor en la identificacin y seleccin de respuestas alternativas a los riesgos - como prevenir, reducir, compartir y aceptar riesgos; Reducir las sorpresas y prdidas operacionales: las organizaciones adquieren mejor capacidad de identificar eventos potenciales y establecer las respuestas, reduciendo las sorpresas y los costes o prdidas asociados; Identificar y manejar riesgos mltiples y entre emprendimientos: cada emprendimiento se enfrenta a una variedad de riesgos que pueden afectar a diferentes reas de la organizacin. La gestin de riesgos corporativos permite una respuesta eficaz a los impactos relacionados entre s y respuestas integradas a distintos riesgos; Aprovechar oportunidades: por considerar todos los posibles eventos, la organizacin se posiciona para identificar y aprovechar las oportunidades de manera proactiva; Optimizar el capital: obtencin de informaciones adecuadas acerca de los riesgos permite llevar a cabo una evaluacin efectiva de las necesidades de capital como un todo y mejorar la asignacin de ese capital Estas calidades, inherentes a la gestin de riesgos corporativos, ayudan a lograr los objetivos de desempeo y de rentabilidad de la organizacin, evitando la prdida de recursos. La gestin de riesgos corporativos ayuda a garantizar una comunicacin eficaz y el cumplimiento de las leyes y reglamentos, y a evitar daos a la reputacin de la organizacin y sus consecuencias.
El CBK (Common Body of Knowledge) de ISC2 (International Information Systems Security Certification Consortium) es una compilacin del conocimiento relativo al rea de seguridad de informacin en diez dominios distin-
6. CBK
34
tos, que van desde la seguridad fsica hasta el anlisis de riesgo. El ISC tambin cre un programa de capacitacin y certificacin del profesional de seguridad, llamado CISSP (Certified Information Systems Security Professional).
7. Asociaciones
7.1. ISACA ISACA (Information Systems Audit and Control Association) es una asociacin internacional formada por profesionales que actan en las reas de auditoria de sistemas, seguridad de informacin y, principalmente, gobernanza de TI. Comenz sus actividades en 1967, con un pequeo grupo de auditores que actuaban en organizaciones donde los sistemas informatizados empezaban cada vez ms a desarrollar operaciones crticas de seguridad. Los miembros de ISACA (ms de 86 mil en todo el mundo) se caracterizan por su diversidad. Estos miembros viven y trabajan en ms de 160 pases y en diferentes posiciones relativas a tecnologa de informacin (auditores de sistemas, consultores, profesionales de la seguridad de informacin, CIOs, profesores e investigadores, entre otros). Es importante sealar que la mayora de los miembros desempea sus funciones en organizaciones de todos los sectores de la economa - industria, comercio, finanzas y gobierno. Esta es, positivamente, la fuente de fuerza y expresividad de ISACA (www.isaca.org). Las experiencias adquiridas y compartidas entre los asociados son el factor ms importante de la asociacin, que tiene una base de conocimientos muy rica y diversificada a disposicin de sus miembros. Esta representacin de ISACA tambin resulta de su alcance global con ms de 175 oficinas en ms de 70 pases. Esas oficinas proporcionan a sus comunidades oportunidades de capacitacin y de compartir recursos, soporte, red profesional y facilidad de interactuar a travs de los cinco continentes y una serie de beneficios a nivel local e internacional. Mundialmente, ISACA organiza, patrocina y controla la certificacin de profesionales que trabajan en las reas de auditora de sistemas (CISA - Certified Information Systems Auditor), de seguridad de informacin (CISM - Certified Information Security Manager) y de gobernanza (IT CGEIT - Certificado de gobernanza de TI de las empresas). Estas certificaciones son internacionales, reconocidas y muy valoradas en todo el mundo, formando una comunidad de ms de 38 mil profesionales certificados. En Brasil, ISACA (www.isaca.org.br) tiene oficinas en So Paulo, Rio de Janeiro, Brasilia y en formacin en otras regiones, con una red de ms de 450 asociados y en crecimiento. 7.2. ISSA ISSA (Information Systems Security Association) es una asociacin de profesionales de seguridad de informacin presente en 24 pases, con ms de 13 mil miembros. Su objetivo es estimular la relacin entre los asociados y beneficiarlos a travs de aparceras, eventos, capacitaciones y contenido. Una de sus caractersticas es centrarse especficamente en seguridad de informacin, aunque la asociacin tenga programas diversificados que benefician desde el tcnico principiante hasta el ejecutivo de toma las decisiones de las organizaciones. De la AISS naci ISC2, responsable de la certificacin de los profesionales de SSCP (Systems Security Certified Practitioner), dirigida a la certificacin tcnica de profesionales de seguridad y CISSP (Certified Information Systems Security Professional), una de las certificaciones en seguridad mundial, basada en los diez dominios del CBK, que abarcan prcticamente todos los temas relacionados a la seguridad de informacin. Para obtener la certificacin CISSP, se debe demostrar experiencia en al menos uno de los dominios y dar un examen con 250 preguntas sobre los diez dominios en un plazo mximo de seis horas. En Brasil, AISS tiene una oficina regional, que se puede acceder a travs de Internet en www.issabrasil.org y ISC2 se puede acceder a travs de la pagina www.isc2.org.
35
Captulo 8
Gestin de cambios
Ricardo Castro, CISA CFE En este captulo se tratan los asuntos relativos a la gestin de cambios, los desafos relacionados a este importante proceso de tecnologa de informacin (TI), cmo dos de los modelos ms populares de mejores prcticas abordan el problema y cmo se puede evaluar si un proceso de gestin de cambios alineado al plan estratgico de seguridad de informacin (PESI) brinda, de hecho, valor al negocio.
Un porcentaje significativo de los problemas que amenazan la disponibilidad, integridad y cumplimiento de la normativa en servicios crticos de TI tiene su origen en la ejecucin inadecuada y mal planificada de cambios. As, en lugar de volver la atencin a la gestin de incidentes, que se ocupa del problema despus de su ocurrencia, TI debera mirar, de manera preventiva, hacia la gestin de cambios para evitar incidentes. De hecho, si los procesos de gestin de cambios no son estructurados y constantemente mejorados (segn el modelo PDCA - Plan, Do, Check and Action, o planificacin, ejecucin, verificacin y accin), probablemente el departamento de TI entrar en un ciclo vicioso, donde algunos de los incidentes de seguridad son causados por las acciones que provienen de la propia TI, y aun las acciones correctivas pueden resultar en nuevos incidentes. De acuerdo con ITIL (Information Technology Infrastructure Library), los principales problemas relacionados a este proceso son: Falta de informacin para anlisis de riesgos - el surgimiento de situaciones no previstas resulta de la falta de una base de configuracin actualizada con las informaciones necesarias para hacer una evaluacin adecuada del impacto; Falta de integracin entre los procesos - la utilizacin de una herramienta adecuada apoya el control de cambios y su integracin con otros procesos ayuda a planificar cambios; Priorizacin de todos los cambios los cambios deben ser planificados y programados en el momento adecuado y de acuerdo a las necesidades de negocio. Slo deben ser tratados como cambios urgentes los que resultan en la falta de disponibilidad actual o inmediata de un servicio. La cultura de la empresa influir en la adhesin e implantacin de este proceso y sus controles. El factor humano es esencial para cambiar ese paradigma. Es importante asegurarse de que el equipo de TI tiene consciencia de los efectos positivos del proceso como un todo. La falta de compromiso del equipo es un punto crtico cuando se trata de gestin de cambios. Asimismo, los usuarios y la alta administracin deben saber que la planificacin y los controles no son enemigos de la flexibilidad, pero que contribuyen a un entorno operativo equilibrado, estable y asequible. Para ordenar un poco este escenario bastante desafiador, podemos utilizar dos modelos de mejores prcticas de CobiT 4.1, ms especficamente en el proceso AI6 - Gestionar cambios.
1. Cambios como causas de incidentes
Crece la demanda por excelencia en los niveles de servicios para lograr los objetivos de negocio. Consecuentemente, el rea de TI est en constante evolucin para satisfacer la demanda de evolucin del escenario de negocios, implementando nuevas soluciones, aumentando la capacidad y creando nuevos controles. Como los tiburones, uno tiene que estar siempre en movimiento, atento y, sobre todo, no dejarse llevar por el pnico. Planear, ponderar y actuar con lucidez son requisitos para que las decisiones emocionales no nos lleven al fracaso.
2. Desafos de la gestin de cambio
36
En esencia, todos los cambios, previstos o no, estaran cubiertos por el proceso de gestin de cambios. Sin embargo, en la mayora de los casos, no es posible tratar todos los cambios de esa manera. En resumen, podemos decir que las principales actividades que involucran a la gestin de cambios son:
Monitoreo y encaminamiento del proceso de cambios; Registros, evaluacin y aceptacin o rechazo de solicitudes de cambio (request for change o simplemente RFC) recibida; Clasificacin y priorizacin de cambios en los comits responsables de la aprobacin de las RFCs; Coordinacin del desarrollo e implantacin de cambios; Evaluacin de los resultados de los cambios y conclusin del proceso de cambio en caso de xito. Todos los cambios, incluyendo la aplicacin de patches y mantenimiento de emergencia, estn relacionados con la infraestructura y aplicaciones en el ambiente de produccin y deben ser formalmente gestionados de manera controlada. Los cambios (incluyendo los procedimientos, procesos, sistemas y criterios de servicio) son registrados, evaluados y aprobados antes de su implantacin y revisados en funcin de los beneficios previstos. Esas etapas garantizan un cierto conforto de que impactos negativos no afectarn a dos de los principales pilares de la seguridad de informacin: la disponibilidad y la integridad del ambiente de produccin. La gestin de cambios no puede ser una cruzada solitaria de TI. La participacin y el apoyo del rea de negocio son vitales para el xito del proyecto. Desde el primer momento, comits de negocio deben ser creados visando no slo la participacin de las principales reas de la empresa, sino tambin la formacin de una cultura de gestin de recursos y gobernanza de TI. Otro soporte muy recomendable es la aplicacin de un modelo de madurez en la indicacin de los niveles de formalizacin y automatizacin de las actividades.
Segn el modelo de buenas prcticas y los controles de ISACA , los controles sobre el proceso de IT de gestionar cambios buscan, directamente, la creacin de soluciones que reducen los defectos y el retrabajo, requisitos alineados a las estrategias de negocio de cualquier empresa. Para eso, debemos centrarnos en los controles relativos a evaluaciones de impacto en la autorizacin e implantacin de todos los cambios en la infraestructura de TI y la implantacin de soluciones tcnicas. Estas acciones minimizan los errores derivados de las solicitudes de cambio incompletas o pueden suspender una implantacin de cambios no autorizada. Estos objetivos, sin embargo, son logrados por la definicin y comunicacin de los procedimientos de cambio, incluyndose los cambios de emergencia. A ese proceso, se suma el desarrollo y la aplicacin de un mtodo de evaluacin, la priorizacin y la autorizacin de cambios y, por ltimo, el rastreo de status y el informe de cambios. El propio proceso de gestin de cambios se divide en cinco actividades, a saber: 1) Estndares y procedimientos de cambios: el establecimiento de procedimientos formales de cambio para gestionar de forma estandarizada todas las solicitudes (incluyendo manutencin y patches) para cambios en las aplicaciones, procedimientos, procesos, sistemas y criterios de servicio, en sus respectivas plataformas. 2) Evaluacin de impacto, priorizacin y autorizacin: evaluacin de todas las solicitudes de cambio (RFC) de forma estructurada para determinar el impacto en los sistemas en operacin y sus funcionalidades. Adems, garantir que todos los cambios sean clasificados, priorizados y, sobre todo, autorizados. 3) Cambios de emergencia: establecimiento de un proceso para la definicin, identificacin, prueba, documentacin, evaluacin y autorizacin de cambios de emergencia que, eventualmente, no seguirn el proceso preestablecido de cambios. 4) Rastreo del status de los cambios e informe: establece un sistema, automatizado o no, para rastrear e informar los cambios rechazados, y comunicar el status de los cambios aprobados, en evaluacin, en curso y
3. Gestin de cambios segn CobiT
37
concluidos. Estar seguro de que todos los cambios aprobados se llevaron a cabo como estaba previsto. 5) Conclusin y documentacin: independiente del cambio implementado, hay que actualizar los sistemas relacionados, as como la documentacin de usuario y los procedimientos. Se espera que los siguientes resultados sean logrados: Un enfoque estandarizado y consensual para la evaluacin de impactos de manera eficiente y eficaz; Expectativas formalmente definidas para los impactos de cambios, ya sean de emergencia o no, basados en los riesgos del negocio y en mediciones de desempeo; Procedimientos consistentes de cambio, ya sean de emergencia o no; Un enfoque estandarizado y consensual para la documentacin de los cambios; Cambios revisados y aprobados de manera consistente y coordinada; Procedimientos consistentes para cambios y documentacin. Como en cualquier proceso, es vital que todas las actividades tengan un resultado formal, trazable y auditable.
El proceso de gestin de cambios tiene repercusiones en prcticamente todos los recursos de TI, tales como humanos, infraestructura, informaciones o aplicaciones. Del mismo modo, las consideraciones de eficiencia, eficacia, integridad, disponibilidad y fiabilidad de las informaciones (esta ltima, de modo secundario) pueden verse afectadas negativamente si un proceso formal y bien controlado no se implementa. Algunas de las principales amenazas para TI, que pueden ser controladas, son: Autorizacin de acceso especial no cancelado adecuadamente; Efectos adversos sobre la capacidad y el desempeo de la infraestructura; Cambios no registrados o rastreados; Documentacin de configuracin que no refleja la configuracin actual del sistema; Falta de cumplimiento de normas y polticas internas; Falta de capacidad para responder a las necesidades de emergencia de cambio; Asignacin incorrecta de recursos; Aumento de la dependencia en las personas; Aumento de la probabilidad de que cambios no autorizados sean introducidos en los sistemas clave de la empresa; Asignacin insuficiente de recursos; Control insuficiente sobre los cambios de emergencia; Falta de documentacin de los procesos de negocio; Falta de gestin en la priorizacin de cambios; Prdida del rastreo de los cambios; Disponibilidad deficiente del sistema; Cambios no autorizados desplegados, resultando en seguridad deteriorada y acceso no autorizado a informaciones de la compaa; Cambios no detectados y no autorizados en el ambiente produccin.
4. Manteniendo riesgos bajo control
La eficiencia y la eficacia de este proceso pueden ser medidas a travs de la implantacin de algunos indicadores de desempeo, a saber: Nmero de faltas graves o errores de datos causados por una especificacin inexacta o una evaluacin de impacto incompleta; Volumen de retrabajo en aplicaciones o infraestructura causado por la especificacin insuficiente de cambios; Porcentaje de cambios que siguen el proceso formal de control de cambios.
5. Midiendo la eficacia de los controles
38
Un proceso es el resultado de entradas y salidas. Al implementar un proceso para la gestin de cambios, cules son las fuentes principales dentro de TI y del negocio a considerar? Teniendo en cuenta CobiT como un modelo, consulte los procesos PO1, PO4, PO6, PO6, PO7, PO8, PO9, PO10, DS3, DS5, DS8, DS9 y DS10. Lectura recomendada: CobiT Mapping Documents. Disponible en: http://www.isaca.org/cobitmapping.
6. Preguntas para pensar
39
Captulo 9
Aspectos jurdicos del PESI2

Renato Opice Blum Juliana Abrusio
En el mundo moderno, el activo ms valioso es la informacin. Las empresas se preocupan con lo que llamamos capital intelectual. Todo lo que queremos es evitar la ocurrencia del dao, entendido aqu como cualquier evento que afecta los bienes intangibles de la empresa, causando daos. A menudo, esos daos son irreparables, ya que se trata de un activo que no puede ser simplemente devuelto. Frente a esta complicacin, uno se pregunta como las empresas pueden protegerse de la mejor manera posible. Por otra parte, qu procedimientos legales deben ser incorporados al mundo empresarial con el fin de prevenir el dao, pero tambin ofrecer evidencias contra demandas futuras? Es necesario adoptar un Plan Estratgico de Seguridad de Informacin (PESI) para garantizar el binomio prevencin y reaccin. El primero es para evitar fraudes, intrusiones, descuido de empleados, mala conducta de insiders, sabotaje, competencia desleal, fraudes informticos, etc. El segundo, como se ha dicho, es para rodear la parte perjudicada - en este caso, la empresa que ha sufrido el ataque de todas las pruebas posibles para la demanda. Tambin existe una tercera condicin, no menos importante, que adems del binomio prevencin y reaccin, es esencial para la vida de una empresa bien preparada en relacin a la seguridad de informacin, es decir, la condicin en que se encuentra toda la estructura de tecnologa de informacin de la empresa, para, en caso necesario, peritarla. Es decir, la condicin de la empresa en responder a incidentes y presentar pruebas frente a dichos incidentes, a fin de reunir las pruebas relacionadas correctamente que se tengan en cuenta en el futuro.
1. Introduo
Las cuestiones relacionadas a la seguridad de informacin ocupan un lugar importante en las estrategias empresariales en todo el mundo. Proteger y conservar la informacin de las muchas amenazas resulta indispensable para garantizar la continuidad del negocio, minimizando riesgos y maximizando el retorno de la inversin. Varias reglas rigen los procedimientos de seguridad de informacin. Entre ellas, las reglas ABNT ISO/IEC 27001, ABNT ISO/IEC 27002 y otras, tales como Basilea II y Sarbanes-Oxley. Sin embargo, no nos olvidemos que el mundo corporativo existe en un universo regulado, donde el ejercicio de derechos individuales y sociales est garantido, como valores supremos de la sociedad, a travs de una amplia legislacin. La adopcin y la implantacin del Cdigo de Prcticas para la Gestin de Seguridad de Informacin deben estar alineadas a las leyes, estatutos, reglamentos y obligaciones contractuales inherentes,3 bajo pena de las sanciones previstas en ley. A pesar de que estas prcticas se limitan al mundo empresarial, en ningn caso, podemos dejar de considerar los aspectos legales involucrados.
2. La estrategia de la organizacin frente a las normas de seguridad
La primera gran preocupacin es el cumplimiento de la legislacin patria actual, incluyendo todas las leyes laborales, civiles, penales y administrativas. Debemos rechazar la violacin de cualquier ley, estatuto, reglamento y obligacin contractual inherente a los requisitos de seguridad de informacin. Cabe aadir adems
2 3
3. Conformidad con los requisitos legales
Plan Estratgico de Seguridad de Informacin.
Legislacin: Un conjunto de leyes decretadas o promulgadas en un pas, que regula las cuestiones de manera general o especfica. Ejemplo: Constitucin Federal, Cdigo Civil, Cdigo Penal, Consolidacin de las Leyes Laborales, Ley del Software, Ley de Propiedad Industrial. Estatutos: conjunto de reglas establecidas y observadas por una institucin jurdica que se adoptar como ley bsica, y que establece los principios institucionales de una corporacin pblica o privada. Ejemplo: Estatuto Social, Estatuto de Funcionarios Pblicos. Reglamento: conjunto de normas o reglas que establece la forma de gestin o direccin de una institucin o asociacin. Ejemplo: Reglamento de Seguridad de Informacin Obligaciones Contractuales: las obligaciones derivadas del acuerdo entro dos o ms personas fsicas o jurdicas para crear, regular o poner fin a una relacin jurdica. Ejemplo: Contrato de Compra y Venta, Contratos Laborales, Contratos con Subcontratistas.
40
que es sumamente necesaria la interconexin entre el departamento de auditora y legal para que tengan la tranquilidad de actuar segn la ley, sin incurrir en ningn delito. El tipo de control propuesto para la identificacin de la legislacin en vigor se basa en la verificacin de la documentacin. La norma ABNT ISO/IEC 27002 determina todos los requisitos legales, reglamentarios y contractuales relevantes, as como el enfoque de la organizacin para cumplir con dichos requisitos, ya sean explcitamente definidos, documentados y mantenidos al da para cada sistema de informacin.
La organizacin debe aplicar, internamente, un documento capaz de producir la mayor seguridad posible, teniendo en cuenta los elementos de prevencin, reaccin y condicin forense. Este documento es conocido como Reglamento Interno de Seguridad de Informacin (RISI), que es un conjunto de normas y reglas de seguridad de informacin, que pretenden permitir el intercambio de informaciones dentro de la infraestructura tecnolgica de la organizacin, a travs de sus recursos informticos. Por informacin debe entenderse todos los activos que se refieren a la cultura de la organizacin o su negocio, que pueden ser de carcter comercial, tcnico, financiero, legal, recursos humanos, o de cualquier otra naturaleza que tengan un valor para la organizacin y que estn almacenadas en sus recursos computacionales, con trfico dentro de su infraestructura tecnolgica. La eficacia de la regulacin depende de la vinculacin de todas las personas que tienen contacto con la organizacin, como empleados, suministradores de servicios, colaboradores.4 As, el Reglamento incluir clusulas relativas a los usuarios de red, las contraseas y amplitud de acceso a los archivos; control de amenazas (virus, crackers, etc.), uso y instalacin de software y hardware; utilizacin de equipos (computadoras, impresoras, ordenadores porttiles, smartphones, etc.); procedimientos para acceder a Internet y correo electrnico, entre otros.
4. Reglamento Interno de Seguridad de Informacin
Los Trminos de Uso de Seguridad de Informacin (TUSI) tambin deben ser utilizados por la organizacin, junto con RISI. El TUSI consiste en el compromiso asumido, individualmente, de forma expresa y por escrito, por los empleados, suministradores de servicio o colaboradores, indicando que estn vinculados a las tareas y responsabilidades resultantes del RISI. El TUSI es un documento importante, ya que garantiza la conciencia de las partes y puede ser un excelente medio de prueba, ya que la persona se compromete por escrito. Ambos documentos (RISI y TUSI) deben ser preparados con base en las directrices sobre seguridad ms actuales y fiables del mundo, especialmente las normas NBR ISO IEC 27002 e ISO IEC 27001, la reforma del Cdigo Civil de Alemania (Brgerliches Gesetzbuch - BGB), relacionados a los documentos electrnicos, el Data Protection Working Party, de la Unin Europea, el Statuto dei Lavoratori Italiani; Codice della Privacy (Italia), la Directiva 2002/58/CE, el Decreto Legislativo Italiano no 196, de 30 de junio de 2003 (Misure di sicurezza) y otros. El RISI y el TUSI son los dos principales instrumentos jurdicos que integran el PESI. Estos instrumentos protegen no slo la organizacin, sino tambin los administradores, empleados y terceros involucrados en todas las esferas legales.
5. Trminos de Uso de Seguridad de Informacin
El monitoreo de los e-mails puede ser considerado vlido, siempre que se preste atencin a algunos requisitos. Los tribunales laborales brasileos estn cristalizando la jurisprudencia del pas para permitir el monitoreo de los medios electrnicos de la corporacin para verificar el uso indebido de recursos de procesamiento de la
4
6. Monitoreo de e-mails
Empleados: teniendo en cuenta los representantes de la empresa (CLT)
Proveedores de servicios: teniendo en cuenta los representantes de empresas contratadas, o autnomos, que de cualquier forma suministren servicios a la empresa, en funcin de un contrato de servicios, sin que sean considerados empleados de acuerdo a la ley brasilea. Colaboradores: otras personas como pasantes, cooperados y terceros que no se encajan en la definicin de empleado o prestador de servicios, pero que, directa o indirectamente, desarrollan alguna actividad dentro o fuera de la empresa.
41
informacin, permitiendo incluso el despido procedente, ya que los empleados de la organizacin no tienen expectativa de privacidad. Correctamente y para evitar discusiones, es saludable que todos los usuarios tengan consciencia del alcance de sus permisos de acceso y del monitoreo realizado, que puede ser posible gracias al registro de las autorizaciones escritas, debidamente firmadas por los empleados, proveedores y dems personas que participan de la organizacin, lo que llamamos de Trminos de Uso de los Sistemas de Informacin. Se recomienda tambin la presentacin de mensajes en el momento de la conexin inicial, advirtiendo al usuario que el recurso de procesamiento de la informacin utilizado pertenece a la organizacin y no se permiten accesos no autorizados. Es necesaria la confirmacin del usuario para proseguir con el proceso de conexin.
El articulo 186 del Cdigo Civil Brasileo establece la responsabilidad civil del individuo que viola derecho o causa daos a otros, aunque morales, por accin o omisin voluntaria, negligencia o imprudencia, obligndose a resarcirlo, independientemente de culpa, cuando la actividad normalmente desarrollada por el autor del dao implica en riesgo a los dems (art. 927 CC). El artculo 1016 del Cdigo Civil preconiza tambin la responsabilidad solidaria de los directores frente a la sociedad y a terceros afectados negativamente durante el desempeo de sus funciones. Estos dispositivos muestran claramente la necesidad de proteger legalmente la corporacin en la gestin de seguridad de informacin, teniendo en cuenta que el objetivo principal de la corporacin, al adoptar esa regla, es minimizar los riesgos inherentes y no generar ms riesgos. En concreto, los gerentes de seguridad de informacin estn ligados al complejo de actividades relacionadas a las diferentes maneras de usar los recursos proporcionados por la computadora y, como consecuencia, son responsables de proponer soluciones capaces de maximizar el uso de herramientas tecnolgicas y proponer medidas para prevenir todos los tipos de riesgos a la organizacin, ya sea en relacin a la prdida de datos, virus, entre otros. El administrador tiene el deber de promover el proceso de concientizacin y capacitacin. Por lo tanto, se recomienda desarrollar una especie de informe con la descripcin de la situacin actual de la compaa, con respecto a la tecnologa empleada. De hecho, la Resolucin 3380 del Banco Central, que inaugur la primera fase de adopcin de Basilea II en Brasil, refuerza la preocupacin con la elaboracin de informes que incluyen los temas crticos de las instituciones financieras. Se sabe que nadie puede alegar la ignorancia de la ley para defenderse. Por lo tanto, el administrador debe estar siempre actualizado sobre los aspectos legales relativos a su profesin. Es muy importante que tenga este conocimiento, pues el gerente de seguridad es responsable, civil y penalmente, de sus actos, ya sea en funcin de su connivencia con ciertos comportamientos, o por no tener el cuidado y la diligencia que normalmente se espera. Adems, el empleado, en razn del cargo o funcin que ocupa, puede acceder a informaciones confidenciales, tales como componentes de frmulas creadas por empresas que desarrollan productos; detalles sobre la vida de los clientes que son partes en litigio, datos de registro de clientes; planificacin para desarrollar la actividad comercial durante el ao, entre otros. Por estas razones, algunas disposiciones del Cdigo Penal podrn aplicarse, a saber: Revelacin de secreto Art. 153 Divulgar, sin justa causa, contenido de documento particular o de correspondencia confidencial, de que es destinatario o detentor, y cuya divulgacin puede causar daos a terceros: Pena detencin, de uno a seis meses, o multa. 1 La accin penal depende de instancia privada. 1-A. Divulgar, sin justa causa, informaciones sigilosas o reservadas, de acuerdo con la ley, incluidas o no en los sistemas de informaciones o banco de datos de la Administracin Pblica: Pena detencin, de 1 (uno) a 4 (cuatro) aos, y multa.
7. Responsabilidades
42
2 Cuando causa perjuicio a la Administracin Pblica, la accin penal ser pblica. Revelacin de secreto Art. 154 Revelar, sin justa causa, secreto conocido o posedo con motivo de su funcin, ministerio, oficio o profesin, y cuya revelacin pueda causar daos a terceros: Pena detencin, de 3 (tres) meses a 1 (un) ao, o multa. Pargrafo nico La accin penal depende de instancia privada No obstante, es posible que un empleado acceda, sin autorizacin, a documentos o informaciones confidenciales que no puede saber. As, incumplir las rdenes de su empleador o supervisor, y podr ser despedido por justa causa , en virtud de su indisciplina o insubordinacin (artculo 482, apartado h de la CLT). Por otra parte, el gerente puede encontrarse con situaciones de competencia desleal, que son prcticas antiticas o ilegales de la actividad econmica, previstas en el art. 1955 de la Ley 9279/96.
En conclusin a las consideraciones jurdicas colectadas, se recomienda que la organizacin adopte las siguientes posturas: Divulgacin de poltica de cumplimiento de los derechos de propiedad intelectual, que contenga la definicin expresa sobre el uso legal del software. Es conveniente que la poltica mencione la legislacin existente sobre el tema; Compra de software nicamente de fuentes fiables para garantizar que no se violan los derechos de autor; Educar a los empleados a travs de polticas y tomar medidas disciplinarias en caso de violaciones. Sera adecuado que las acciones disciplinarias culminaran en el despido procedente; Mantener registros de los activos e identificar todas los posiblemente relacionados a derechos de propiedad intelectual. Por lo tanto, hay que verificar y registrar todo en la organizacin que se sujeta a la legislacin pertinente; Mantener pruebas de la propiedad de las licencias, tales como el contrato de licencia, recibos, manuales, discos maestros; Implementacin de controles para que el nmero de usuarios permitido sea compatible con el nmero de licencias adquiridas, esta recomendacin es muy importante, teniendo en cuenta las disposiciones de la Ley N 9609/98 (Ley del Software);
8. Implementacin
5 Art. 195. Comete el delito de competencia desleal el que: I publica, por cualquier medio, declaracin falsa, en detrimento de competidores, a fin de obtener ventaja; II - provee o divulga a un competidor, informacin falsa, a fin de obtener ventaja; III usa medios fraudulentos para desviar, en provecho propio o ajeno, los clientes de terceros; IV usa expresin o seal de propaganda ajenos, o los imita a fin de crear confusin entre los productos o establecimientos; V usa, indebidamente, el nombre comercial, ttulo de establecimiento o insignia ajena o vende, expone u ofrece a la venta o tiene en stock producto con esas referencias; VI sustituye, con su propio nombre o razn social, en producto ajeno, el nombre o razn social del fabricante del producto, sin su consentimiento; VII alega, como medio de propaganda, recompensa o distincin no obtenidas; VIII - vende o expone o ofrece a la venta, en un envase o envoltorio ajeno, producto adulterado o falsificado, o lo utiliza para hacer negocios con un producto de la misma especie, aunque no adulterado o falsificado, si el hecho no constituye delito ms grave; IX - da o promete dinero u otro bien a un empleado de un competidor, para que el empleado, incumpliendo su deber profesional, le de una ventaja; X - recibe dinero u otra contraprestacin, o acepta la promesa de pago o recompensa para, en violacin a su deber de empleado, dar ventaja a los competidores del empleador; XI - divulga, explora o usa, sin autorizacin, conocimientos, informaciones o datos confidenciales, utilizados en la industria, comercio o suministro de servicios, con excepcin de aquellos que son de conocimiento pblico o evidentes para un experto en la materia, a que tuvo acceso en funcin de un relacin contractual o laboral, incluso despus de la extincin del contrato; XII - divulga, explora o usa, sin autorizacin, conocimientos o informaciones contemplados en los apartados anteriores, obtenidos por medios ilcitos o fraude; XIII - vende, expone u ofrece a la venta un producto que declara ser objeto de una patente solicitada, o concedida, o un diseo industrial registrado, que no lo es, o lo menciona en publicidad o papel comercial como solicitado o patentado o registrado, sin serlo; XIV - divulga, explora o usa, sin autorizacin, los resultados de pruebas u otros datos no publicados, cuya elaboracin requiere un esfuerzo considerable y que fueron presentados a entidades gubernamentales como condicin para aprobar la comercializacin de los productos. Pena - detencin de 3 (tres) meses a 1 (un) ao o multa. 1 Se incluye en los casos mencionados en los puntos XI y XII el empleador, socio o administrador de la compaa, que comete los delitos establecidos en dichos dispositivos. 2 Las disposiciones del tem XIV no se aplican a la divulgacin por una autoridad gubernamental para permitir la comercializacin de productos cuando sea necesario para proteger al pblico.
43
Llevar a cabo controles constantes para garantizar que slo sean instalados productos de software autorizados y licenciados en la Corporacin; Fijar normas para mantener las condiciones adecuadas de licencias; Usar contratos de transferencia de software a terceros; Usar herramientas de auditoria adecuadas; Identificar y cumplir con los trminos y condiciones para el software obtenido de las redes pblicas; No duplicar, modificar el formato o extraer registros de pelcula o audio ms all de lo permitido por la ley de derechos de autor, a saber, la Ley N 9610/98; No copiar libros, artculos u otros documentos fuera de los estndares aceptados por la Ley de Derechos de Autor.
44
Captulo 10
Computacin Forense
Giuliano Giova La informacin est sustituyendo la autoridad. Peter Druker
Nada mejor que empezar este viaje rpido en el mundo de la ciencia forense teniendo como gua el Profesor Peter Druker, mente brillante que explica los secretos que unen poder e informacin. Pocas personas fueron ms poderosas que el faran. No era apenas un rey en el antiguo Egipto, sino que poda decidir solo la suerte de la nacin y de cada uno de sus habitantes. Con autoridad absoluta y rodeado de miles de esclavos, el faran fue capaz de construir monumentos que maravillaron al mundo, administrar solo la justicia, desarrollar ciencias y conducir ejrcitos; y, como si no bastara, era considerado el nico y verdadero representante de Dios en la tierra. Exactamente en ese punto, las enseanzas de Druker nos ayudan a comprender que, detrs de todo este poder, estaba la posesin y utilizacin inteligente de informaciones tan importantes que seran consideradas privilegiados por cualquier bolsa de valores en los das de hoy. El observador ms atento se da cuenta de que el poder de los faraones venia, de hecho, de sus sacerdotes, los verdaderos conocedores del sistema de construccin de las pirmides, de la astronoma que traa alimentos y prosperidad al predecir sequas y cundo sembrar y cosechar, adems de conocer los medicamentos que aliviaban el sufrimiento del pueblo. Los sacerdotes eran los nicos que podan leer los escritos antiguos sobre matemtica, qumica y posicin de los astros. Guardianes de grandes secretos, ellos interpretaban sueos, hacan rituales y hechizos que curaban o maldecan. As, la felicidad y la propia supervivencia del faran y de su reino dependan mucho ms de los conocimientos de los sacerdotes que del poder absoluto de su gobernante. En otras palabras, desde la antigedad, la posesin y la utilizacin de una buena informacin son ms importante que la autoridad.
1. El poder del faran
Miles de aos fueron necesarios para que la humanidad fuese capaz de producir maquinas eficaces para el tratamiento de informaciones. Durante las dcadas de 50 y 60, inmensas computadoras, los famosos mainframes, ofrecan un nuevo tipo de magia sacerdotal: recoger y procesar millones de datos y proporcionar servicios de procesamiento de datos simultneamente a legiones de usuarios. El ENIAC, el System/360 de IBM y otros de Burroughs y HP proporcionaban a los gobiernos y a las empresas la capacidad de atender a ms clientes y procesar ms servicios, reduciendo costos y, poco a poco, substituyendo la mano de obra por procesos automticos, con el desempleo como efecto secundario. En esa poca, los directores de informtica y O&M (organizacin y mtodos) llevaban el ttulo de los ms poderosos, elegidos para encabezar la alta administracin a fin de desarrollar y modificar el comportamiento de la organizacin, como los nuevos guardianes de la informacin y responsables de su aplicacin en los aspectos prcticos de la empresa. Una vez ms, somos testigos del efecto Druker, pues vemos el poder de los consejos y de la presidencia materializarse a travs de las reas que dominan y aplican las informaciones pertinentes. Como resultado, las reas de informtica y O&M crecieron mucho, con cuadros que llegaban a cientos o miles de empleados, pero algn tiempo despus ya no cumplan ms sus funciones. Acumulaban aos de backlog, largas listas de servicios pendientes sin previsin razonable de suministro, siendo cada vez ms un problema para el desarrollo de la empresa que una solucin fiable. La contrapartida ocurri naturalmente, durante los aos 70 y 80, con la llegada de la microcomputadora, un equipo inicialmente desacreditado para las aplicaciones ms importantes de la empresa, pero que pronto se impuso al brindar autosuficiencia informtica a los usuarios finales.
2. Miles de aos despus
45
A pesar de las predicciones catastrficas relativas a la seguridad de informacin, en funcin del alto riesgo de prdida o copia indebida de datos, el nuevo equipo personal se multiplic rpidamente, porque los usuarios se sintieron libres para crear sus propias aplicaciones sin tener que negociar prioridades y plazos con el rea de desarrollo de sistemas. Los usuarios finales dominaron la tecnologa y desarrollaron sus propios sistemas, pequeos y medianos, a menudo en Lotus 123, Excel, Access, o en algn dialecto xBase. Encargados de las reas administrativas se especializaban en la tarea de controlar y consolidar informaciones. Muchas de estas aplicaciones surgieron tmidamente como stand-alone y luego se integraron a las dems y a los mainframes. El resultado no podra ser diferente: a partir del momento en que la integracin de los sistemas se mostr fiable, se despidieron los directivos que se dedicaban a consolidar las informaciones operacionales de sus reas (ventas, compras, recursos humanos, etc.) y repasarlas a los colegas y superiores. Los sistemas integrados se mostraron ms eficientes y confiables que las personas en la tarea de sincronizar las metas organizacionales, las reas funcionales y los proyectos, fortaleciendo la adopcin de estructuras matriciales en detrimento de las puramente jerrquicas, de acuerdo a movimientos como rightsizing, downsizing y reduccin de niveles jerrquicos. En esta nueva fase, el control efectivo de la informacin relevante de la empresa se traslad a las manos de ejecutivos responsables del core business. Evidentemente, el centro del poder abandon el CPD cuando dej de proponer y realizar nuevos negocios que permitieran que la compaa se desarrollase y se distinguiese en el mercado. Salta a la vista cuando el rea de tecnologa es una simple hospedera y mantenedora de datos y software, una actriz secundaria centrada nicamente en garantizar el nivel de los servicios prestados. Dej de ser lder y slo suministra servicios a los verdaderos dueos del poder, las principales reas de la empresa. A partir de los aos 90, experimentamos nuevos hechizos en el juego de la informacin y del poder. Ordenadores y redes de comunicacin lograron desempeos jams imaginados. Sistemas devinieron flexibles y capaces de adaptarse a los deseos individuales de cada usuario final, una libertad de eleccin jams vista. No slo desaparecieron las predicciones apocalpticas sobre la cabeza de los rebeldes que se atrevieron a apartarse de las normas, procedimientos y sistemas impuestos por la alta direccin, sino que surgieron nuevos horizontes. El pndulo del poder se movi un poco ms hacia el usuario final y la voluntad del mercado, los verdaderos titulares de la informacin pertinente.
Hasta los ms simples ordenadores, comprados en supermercados, tienen un desempeo que era impensable hace pocos das. En un segundo, lo que dura un simple pestaeo, ese tipo de equipo procesa dos billones (2.0 GHz) de instrucciones, barre medio billn de caracteres (HD 500 MB), trasmite casi mil millones de bits (red gigabit) y puede interactuar con un billn de computadoras (IPv6). Son fruto de la nanotecnologa, con componentes medidos en una escala de una milmillonsima parte de un metro. Software y datos abandonaron desktops obsoletos y se teletransportaron, como Capitn Kirk6, para telfonos mviles, automviles, refrigeradores, controles de acceso, out doors y equipos mdicos. Recorren el mundo a la velocidad de la luz, saltando de chip en chip, sus refugios favoritos, omnipresentes en cualquier camino elegido, ya sea en tierra firme, en las profundidades de los ocanos o en el espacio. Como que posedas, las personas relegan sus vidas en el mundo real y se sienten renegados si no pasan da y noche conectados a un sistema de mensajera, reciben pocos mensajes o si no hay nuevos scraps en su pgina virtual. Jvenes no son buenos partidos si no tienen una webcam o tienen pocos amigos virtuales. Gobiernos, empresas e iglesias se vuelven intiles sin enlaces electrnicos. Por primera vez, despus de miles de aos, la humanidad abandona el mundo real y entra con todo en el mundo virtual.
3. Y hoy en da?
Cuentos escritos por Gene Roddenberry.
46
Esta breve sinopsis nos ha ayudado a recordar que, desde la antigedad, la informacin siempre ha sido un personaje importante en todas las luchas de poder. Nos mostr tambin que, durante este largo camino, el dominio sobre la informacin nunca fue tranquilo, pero estuvo inmerso en fuertes disputas, de las cuales no escaparan ilesos brujas, Galileo, polticos, ejecutivos de renombre o un personal dedicado. Curiosamente, sin embargo, algo diferente parece ocurrir hoy en da. Existe entre nosotros un sentimiento general de que, en este nuevo mundo digital, no hay, o al menos no debera haber, grandes disputas sobre la creacin, la posesin y el uso de la informacin. Un espritu adolescente de que no existen lmites y de que todo es posible, despus de todo, todos los das vemos alguien que invade computadoras de servicios secretos o que opera estaciones de radio pirata. Una mirada ms atenta se da cuenta que este sentimiento no es compatible con el gran nmero de litigios relativos a conflictos, errores y procedimientos ilegales e indebidos practicados electrnicamente. Es inexorable que proveedores de informacin, fabricantes de software, gerentes de sistemas y abogados traten de entender esta aparente paradoja. Los grandes pensadores econmicos nos han enseado, hace mucho tiempo, que los bienes son escasos y que, por lo tanto, tienen un costo de oportunidad y precio de mercado. En otras palabras, todo lo que vale la pena suele ser perseguido y disputado por dos o ms personas. Este es el significado real del trmino conflicto de inters, la controversia entre dos o ms personas por la posesin y uso de recursos escasos, bastando recordar cuantas contiendas, robos y guerras ya resultaron de esta disputa. El comportamiento es conocido desde los tiempos prehistricos, una vez que siempre ha sido laborioso, complejo y demorado reproducir objetos de ese mundo real, con armas para buscar alimentos, arados, relojes o hidroelctricas. Imagnese cuantos insumos son necesarios para copiar una simple bolsa, desde la obtencin de todas las materias primas y la realizacin de sucesivas transformaciones, hasta que se logre una unidad nueva, lista y envasada. As pues, parece inexplicable que sean frecuentes los conflictos de intereses relativos a la propiedad del mundo fsico sometidos a la proteccin del Estado. Sin embargo, a diferencia de lo que sucede en el mundo real, reproducir un objeto digital parece ser una tarea muy simple, barata y sin riesgos. Bastan comandos triviales como copiar y pegar, por ms complejo que sea el componente digital reproducido. Queda el sentimiento ingenuo de que es posible reproducir casi instantneamente y de forma gratuita millones de objetos virtuales, un mundo lujoso con infinita abundancia, la verdadera universalizacin de los privilegios a un solo clic. La paradoja es saber por que razn surgen tantos conflictos de inters en el mundo virtual si, aparentemente, all existen muchos objetos digitales. Para ilustrar esta visin, por qu razn las personas disputaran el aire de la atmsfera, si est ampliamente disponible y gratuito, al menos por ahora? Mentes brillantes analizan esas cuestiones. Muchos defienden reglas y sistemas ms estrictos para proteger y mantener motivados a empresarios y creativos que revolucionan continuamente la tecnologa y generan riquezas para la humanidad. Otros quieren reducir las restricciones legales sobre derechos de autor, marcas registradas y bienes universales como el espectro de frecuencias, afirmando que todos somos piratas a la luz de la legislacin actual. Muchas otras frentes de batalla viven en el mismo mundo virtual, alimentadas por personajes tan heterogneos como crackers, pedfilos, estafadores, chantajistas, secuestradores, traficantes, saboteadores, espas, socios infieles, empleados enojados, enamorados celosos y astutos de todo tipo. Este confronto conceptual, cultural y financiero con un toque high-tech es cada vez ms palpitante, pues la solucin de los conflictos que involucran la alta tecnologa nunca ser una tarea sencilla o rpida. Debemos considerar, en primer lugar, que el anlisis de estos conflictos no puede perder su principal elemento director: el concepto de nacin, estrechamente relacionado a las costumbres de sus habitantes y al conjunto de leyes fundamentales que rigen la vida y las relaciones entre gobierno, empresas y particulares. En segundo lugar, debemos considerar que la gran velocidad de la evolucin tecnolgica impide que la legislacin y las normas tcnicas predigan y definan reglas para las nuevas situaciones que pueden resultar en conflictos. En tercer lugar, la supervivencia de la humanidad y de las empresas depende de la existencia
4. Revisitando el viejo conflicto de intereses
47
de innovaciones constantes en las relaciones sociales y modelos de negocio, impulsadas y demandadas cclicamente por el avance tecnolgico. Por ltimo, debemos recordar que los dispositivos digitales se han convertido en esenciales en todas las actividades humanas y en el foco de intereses tan diferentes que los proyectos de ley sobre delitos informticos pasan aos en interminables debates parlamentarios. El resultado general es que crece el nmero de cuestiones de alta tecnologa que deben ser resueltas por los tribunales con el apoyo de expertos, ya sean expertos gubernamentales de institutos forenses o expertos jurdicos nombrados por los jueces. Adems, esa situacin se est deteriorando rpidamente debido a la creciente complejidad de los entornos que pueden ser examinados, por lo que es cada vez ms difcil, costosa y demorada la misin de profesionales del derecho, expertos y asesores tcnicos de las partes. Tareas que antes eran realizadas nicamente por expertos ahora suelen requerir equipos multidisciplinarios de profesionales, como cientficos de computacin, ingenieros de telecomunicaciones, contables y mdicos, ya que todo se ha convertido en digital. Adems, habilidades personales ya no son suficientes, debido a las grandes cantidades de datos, las muchas maneras de almacenar y la completa movilidad de los dispositivos que requieren mtodos y herramientas de anlisis sofisticados, disponibles nicamente en los mejores laboratorios, muy lejos de los miles de municipios del pas. Como veremos, si la tarea pericial no es debidamente preparada y conducida, la complejidad inherente a la tecnologa de informacin y a las telecomunicaciones aumenta considerablemente el riesgo de que los culpables sean declarados inocentes, o peor, que los inocentes sean declarados culpables.
En general, podemos considerar que la informtica forense7 es el uso de los conocimientos sobre computacin y telecomunicaciones para responder a las cuestiones jurdicas. Es, por lo tanto, el uso del mtodo cientfico, un sistema racional para adquirir conocimientos en vez de una simple opinin o dogma, y del propio conocimiento derivado de este mtodo, debidamente organizado y continuamente revisado. No se trata de pura ciencia, pero de ciencia aplicada o, mejor an, un campo interdisciplinario que utiliza los hallazgos de otras ciencias y reas como derecho y computacin para satisfacer las necesidades especficas de la justicia. El trmino abarca tambin tcnicos y cientficos que participan de las diversas disciplinas y campos de estudios fundamentales o limtrofes a la computacin forense, incluso colaborando con ella a travs del conocimiento prctico, no necesariamente cientfico, y a veces ms cerca de las innovaciones empricas de la industria y de las costumbres policiales y judiciales. Entre las comunidades, se puede tambin considerar las diferentes instituciones dedicadas a la comunicacin cientfica y tcnica, al mantenimiento de grupos de investigacin, a los estudios tcnicos o de post-grado, a la elaboracin de normas y estndares y a la certificacin de profesionales. El trmino forense8 se refiere al amplio debate pblico desde una perspectiva jurdica. En este caso, los hechos sobre tecnologa de informacin y telecomunicaciones, con respeto al principio constitucional contradictorio que garantiza a cada persona el derecho de defenderse durante una demanda y el derecho a la proteccin del Estado. Por lo tanto, es evidente, por ejemplo, que no es suficiente para establecer la verdad de los hechos la simple indicacin de una direccin IP (Internet Protocol) en el encabezado tcnico de un mensaje o en el log de un ordenador servidor. Es esencial que estos vestigios sean sometidos a un intenso debate tcnico forense para que, a travs de un conjunto de actividades de verificacin y demostracin, se llegue a la verdad de los hechos, a la produccin de pruebas.9 Aun con base en el ejemplo anterior, hace algunos aos el debate tcnico para encontrar pruebas, posiblemente, se centrara en el conjunto de protocolos conocidos por el acrnimo TCP/IP10 utilizado para la comunicacin entre computadoras en red, definiendo todo el trayecto del mensaje, desde la computadora
7 8 9
5. Informtica forense
Cmputo forense, entre otros trminos. En latn: forensis - pblico, relativo a tribunales; foro - lugar donde se discuten asuntos pblicos. Dinamarco, 2005. TCP: Transmission Control Protocol (Protocolo de Control de Transmisin); IP: Internet Protocol (Protocolo de Internet).
10
48
que enva hasta la computadora que recibe el mensaje. Pero, con la amplia diseminacin de la computacin mvil, probablemente la direccin IP de origen del mensaje mostrar nicamente la computadora gateway de la empresa operadora de telecomunicacin mvil celular, un dato insuficiente para identificar el telfono mvil que enva el mensaje, ya que el mismo sistema puede ser utilizado por varios usuarios a la vez. Nuevos conocimientos tcnicos, investigaciones y verificaciones sern ahora necesarios para demostrar el origen del mensaje, pues parte de su trayecto ocurre por circuitos y tecnologas propias del sistema mvil. La determinacin de la ubicacin geogrfica de emisin del mensaje se desarrolla, implicando, especialmente en casos ms crticos, el estudio de elementos tcnicos antes inusitados, como estaciones radio base, acimutes y ondas electromagnticas.
Edmund Locard, cientfico forense y director de uno de los primeros laboratorios europeos en esta rea establece que, en la escena de un crimen, siempre hay un rastro resultante de la permuta de materiales como fibras o cabellos, cuando hay contacto entre artculos diferentes. El principio de Locard se aplica perfectamente a los acontecimientos del mundo digital, pues computadoras que procesan billones de instrucciones por segundo ciertamente registran algn cambio en funcin de algn contacto con el exterior, ya sea resultante de un botn pulsado, del movimiento del ratn, de la conexin de un pendrive, de la ejecucin de un software o de un acceso a la red. El aumento de la capacidad de procesamiento y almacenamiento de las computadoras result en el aumento del nivel de log del software bsico y de las aplicaciones, pasando a recoger y registrar automticamente una gran cantidad de informaciones histricas sobre los acontecimientos que ocurren en el equipo, material relevante para el investigador forense atento al principio de Locard.
6. Principio de Locard
Tal vez Locard se haya inspirado en el estudio de Heisenberg sobre las modificaciones hechas por el observador de los acontecimientos en trminos de fsica cuntica. En el mundo digital, ocurre algo similar. Por lo tanto, es importante darse cuenta de que no slo el sospechoso deja huellas en la escena del crimen virtual, sino que el investigador tambin deja o modifica los vestigios al observar. A menudo, cuidados bsicos previenen la contaminacin de la escena del crimen, sobre todo en el mundo digital inestable y complejo. Al sospechar que algo incorrecto o ilegal puede estar ocurriendo en la empresa, sus directivos y empleados deben saber que la investigacin sin la metodologa adecuada har con que se pierdan las pruebas esenciales en funcin de la contaminacin de la escena del crimen. Incluso el especialista puede ser traicionado por la urgencia de presentar respuestas al comando de la empresa o restablecer la operacin normal de un sistema afectado. Adems de la posible prdida de vestigios, incluso de aquellos conservados y presentados a la polica o poder judicial, ellos tendrn su valor probatorio reducido en caso de contaminacin, situacin que puede revelarse durante los debates jurdicos. Por lo tanto, desde las primeras investigaciones hasta la recogida y anlisis de las pruebas, es esencial que se adopten mtodos y herramientas adecuadas y fiables.
7. Heisenberg y fsica cuntica
La metodologa y las mejores prcticas periciales determinan que todos los eventos relacionados a la investigacin de incidentes y a la recogida de vestigios deben ser cuidadosamente registrados. Esta medida es an ms importante porque a veces es inevitable que el observador contamine o transforme la escena del crimen. El mecanismo para este registro se llama cadena de custodia, un documento donde se registran claramente y en detalle todos los vestigios encontrados, cualquier manipulacin que se produjo y su finalidad, las personas que tuvieron contacto con ellos, adems de la fecha, hora y local de cada evento. La existencia de la cadena de custodia fiable es crucial para que las pruebas resultantes no puedan ser fcilmente cuestionadas. Un elemento importante en la cadena de custodia de los componentes digitales es la creacin de un cdigo hash, un pequeo grupo de caracteres digitales que representa un conjunto
8. Cadena de custodia
49
mucho mayor de bytes almacenados en un disco duro o en un archivo, por ejemplo. Con el hash, se puede demostrar a cualquier momento que el conjunto original de datos se mantuvo sin cambios. Por lo tanto, est siempre atento a las evidencias que no estn registradas en la cadena de custodia original y fiable.
Cuestiones son preguntas hechas por el juez o por las partes al experto relativas a los puntos tcnicos de la demanda. En general, son presentadas poco despus de la decisin de hacer la pericia tcnica, un momento de preparacin en el que, probablemente, aun no se conocen todas las variables y las dificultades que debern abordarse hasta llegar a la verdad de los hechos. Esto panorama es aun ms grave a medida que las computadoras nuevas tienen una enorme capacidad de almacenamiento, obligando el experto a examinar billones de bytes para tratar de encontrar unos pocos bytes de inters pericial, a menudo encubiertos por codificaciones y formatos inesperados. Adems, muchas veces, hay sobrecarga de servicio y faltan instrumentos periciales adecuados. Resulta clara la importancia de cuestiones muy bien formuladas, pues si las preguntas son vagas o incompletas, el resultado del trabajo pericial podr ser intil o, peor an, podr resultar en el equvoco del juez y de las partes. Se debe recordar siempre que cuestiones son preguntas cuya respuesta demanda un esfuerzo mental y trabajo manual de investigacin y anlisis. Por lo tanto, deben ser suficientemente detalladas para garantizar que los mltiples componentes de un sistema digital hayan sido examinados de manera eficaz y adecuada.
9. Cuestiones
Los exmenes periciales son procedimientos de investigacin tcnica y cientfica cuyo objetivo es responder a las preguntas jurdicas desde un punto de vista tpicamente multidisciplinario. En efecto, por una parte, el experto debe limitarse a la determinacin judicial y a las preguntas recibidas, sin devaneos o fantasas que nada tienen que ver con la misin que le ha confiado el magistrado. Por otra parte, es tcnica y ticamente responsable, incluso frente a su consejo profesional, de la bsqueda de la verdad registrada en los documentos examinados. No siempre es fcil conciliar estos dos aspectos del trabajo pericial. A menudo, el primero vestigio encontrado no revela la verdad de los hechos e incluso puede llevar a los expertos y al juez a error. Por ejemplo, es probable que un error en el cdigo fuente de un software sea atribuido inmediatamente al fracaso del programador, olvidndose que l no trabaja o no debera trabajar solo. De hecho, el programador hace parte de una estructura tcnica de supervisin, capacitacin, metodologa, reglas, herramientas, especificaciones, pruebas y homologaciones, as que quizs sea el menos responsable del problema ocurrido. Nos damos fcilmente cuenta que el anlisis pericial puede centrarse no slo en el componente especfico, sino tambin en todo el sistema dentro de una visn integral y multidisciplinaria, para reiterar las incursiones de anlisis y sntesis hasta que la verdad sea encontrada. Otra falla tpica se produce, an como ejemplo, en la evaluacin de sistemas de gestin en los conflictos entre los fabricantes de software y sus clientes. A veces, el experto se limita a evaluar si los procedimientos operativos del sistema en cuestin presentan interrupciones o errores en los datos o las reglas de negocio. Pero el principal problema puede estar en niveles muy diferentes. Por ejemplo, la oferta y la contratacin pueden haber sido inadecuadas si el proyecto del sistema es reducir costos y mano de obra, un concepto antiguo de ms de 50 aos, y la empresa busca, en cambio, un sistema actual de gestin que le permita innovar continuamente, es decir, que le permita convertirse en una nueva empresa a cada nuevo da, saltando etapas y superando los competidores. En este contexto, parece ser mucho ms importante la evaluacin de la compatibilidad entre los objetivos de la empresa y el sistema en las dimensiones estratgicas y tcticas. An en el contexto de la determinacin de los hechos y de sus responsabilidades tcnicas, uno no puede dejar de evaluar la responsabilidad de la estructura organizacional en los actos involuntarios, ilcitos o ilegales que ocurren en la empresa. Normalmente, el experto es responsable de investigar no slo el evento en el que un recurso de la empresa ha sido objeto de abusos, sino tambin si la empresa fue diligente al establecer contratos, normas de uso, orientacin y control adecuados en cuanto a su infraestructura.
10. Exmenes tcnicos
50
Por lo tanto, la investigacin pericial es cada vez ms sistmica, estructurada y multidisciplinaria a fin de determinar la verdad real y las responsabilidades tcnicas comunes.
El objetivo final del informe pericial es el juez, quien puede utilizarlo como base para su decisin. Cabe sealar que Brasil adopta el principio de que el juez es libre para juzgar la demanda, segn su libre conviccin, aun que debe motivar y explicar lo que ha decidido en el contexto de las pruebas presentadas ante la corte. Es, por lo tanto, evidente que un informe pericial elaborado de acuerdo a las mejores prcticas de informtica forense es esencial para la calidad de la decisin del juez, incluso para su fundamentacin de la decisin. Lamentablemente, esta no es la realidad de muchos informes presentados en los tribunales. Ellos describen los objetivos, los documentos presentados y las conclusiones, pero carecen de la fundamentacin tcnica necesaria. As, perjudican o imposibilitan el contradictorio, impiden la evaluacin de la calidad del trabajo pericial, se vuelven cuestionables y pueden resultar en errores graves. Un buen informe pericial presenta una fundamentacin clara, tcnica y fcilmente comprensible y verificable, incluso por laicos. La Asociacin Brasilea de Normas Tcnicas (ABNT) indica que el informe es el documento en el que el experto informa lo que observ y evala motivadamente el valor de las cosas o derechos. El Consejo Regional de Ingeniera y Arquitectura (CREA) establece que el informe es un documento escrito y motivado, que expone las observaciones y estudios realizados. El diccionario Aurlio define el informe como el documento escrito y fundamentado, en el que los expertos exponen las observaciones y los estudios realizados y registran los resultados de la pericia. Por lo tanto, todas estas definiciones son unnimes al exigir la presencia de la fundamentacin en los informes periciales. En todos esos casos, es inaceptable que el experto simplemente presente sus conclusiones sin evidencias o justificativas o sin que se puedan repetir los exmenes para validar los resultados.
11. Informe pericial
En nuestro breve trabajo, verificamos que la informacin es cada vez ms valorada, pues es esencial para la diferenciacin de las empresas e individuos que son innovadores, permitindoles estar un paso adelante de sus competidores. Llegamos a la conclusin que las medidas de seguridad deben proteger a la empresa, pero no pueden bloquear la flexibilidad esencial para que la innovacin fluya libremente; de lo contrario, sucumbir rpidamente en este nuevo mundo virtual. El escenario tecnolgico mundial, muy complejo, geogrficamente disperso y con poco compromiso aumenta fuertemente el riesgo, exigiendo ms atencin y supervisin y, por lo tanto, mayores costos de seguridad preventiva e investigacin de incidentes. El sistema judicial pasa a depender, cada vez ms, de la evaluacin de especialistas en alta tecnologa, sin embargo, la creciente complejidad de los dispositivos digitales encarece y sujeta el trabajo pericial a errores graves, e impone a la empresa y a las personas medidas preventivas para protegerse de los riesgos digitales.
12. Finalmente
Planejamento Estratgico da Segurana da Informao
51
51

Plan Estrategico Seguridad de Nformacion

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Plan Estrategico Seguridad de Nformacion

Caricato da

Copyright:

Formati disponibili

52

Asociaciones representadas en el Infosec Council:

Plan Estratgico de Seguridad de Informacin

Profesionales miembros del InfoSec Council

Joo Rufino de Sales

Plan Estratgico de Seguridad de Informacin

Ricardo Castro, CISA CFE

Renato Opice Blum

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

A quin se destina este documento

Plan Estratgico de Seguridad de Informacin

Sistema de gestin de seguridad de informacin

Plan Estratgico de Seguridad de Informacin

Participacin del negocio en el PESI1

Plano Estratgico de Segurana da Informao.

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

Aspectos tecnolgicos, humanos y financieros

3. Planificacin de la seguridad de informacin

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

2. Gestin de aparceros de negocios

3. Quin, cuando y qu evaluar

Plan Estratgico de Seguridad de Informacin

4. Evaluando y monitoreando riesgos

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

4. CobiT e ITIL agregando resultados

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

1. Cambios como causas de incidentes

2. Desafos de la gestin de cambio

3. Gestin de cambios segn CobiT

Plan Estratgico de Seguridad de Informacin

4. Manteniendo riesgos bajo control

5. Midiendo la eficacia de los controles

6. Preguntas para pensar

Plan Estratgico de Seguridad de Informacin

Aspectos jurdicos del PESI2

2. La estrategia de la organizacin frente a las normas de seguridad

3. Conformidad con los requisitos legales

Plan Estratgico de Seguridad de Informacin.

4. Reglamento Interno de Seguridad de Informacin

5. Trminos de Uso de Seguridad de Informacin

Empleados: teniendo en cuenta los representantes de la empresa (CLT)

Plan Estratgico de Seguridad de Informacin

Plan Estratgico de Seguridad de Informacin

1. El poder del faran

2. Miles de aos despus

Plan Estratgico de Seguridad de Informacin

Cuentos escritos por Gene Roddenberry.

4. Revisitando el viejo conflicto de intereses

Plan Estratgico de Seguridad de Informacin

7. Heisenberg y fsica cuntica

Plan Estratgico de Seguridad de Informacin

10. Exmenes tcnicos

11. Informe pericial

Planejamento Estratgico da Segurana da Informao

Plan Estratgico de Seguridad de Informacin

Potrebbero piacerti anche