ISO 27001 Cáp 5. Liderazgo

5.1 Liderazgo, compromiso y gestión empresarial.

Un plan de Seguridad de la información de acuerdo con los requisitos de la norma ISO 27001 requiere de una participación  activa y comprometida de la alta dirección de la organización evitando situaciones como las que hemos vivido hasta ahora donde la dirección aparece ocasionalmente en la reunión de revisión.

La intención de involucrar a la alta gerencia dentro del sistema de gestión de seguridad de la información es asegurar que la gobernanza de la empresa esté alineada con el marco de gestión de la seguridad de la información.

Resumiendo  ¿Qué significa el liderazgo en la seguridad de la información?

Ni más ni menos que la dirección de la empresa debe liderar aspectos como

  • Definir expectativas claras sobre qué esperar del programa de seguridad de la información
  • Evaluar o establecer la postura de riesgo de la organización en cuanto a que riesgos se pueden asumir y cuales no
  • Definir los objetivos de seguridad de la información que de forma coordinada o alineada con la dirección estratégica y los objetivos de la organización

¿Cómo poner en práctica el liderazgo del SGSI

Implicar a todos los empleados:

La seguridad es en última instancia la responsabilidad de todos los empleados dentro de una organización; sin embargo, queda demostrado por la experiencia que un plan de seguridad de la información implantado con éxito está asociado a un liderazgo efectivo de la alta gerencia que demuestra una actitud ejemplar  y comprometida.

Defender la importancia de la seguridad de la información requiere

Compromiso: “A mayor jerarquía  mayor exigencia" que demuestre la incorporación de los valores éticos y de compromiso con la seguridad desde el más alto nivel

Políticas: una política y una dirección bien diseñadas.

Enfoque basado en el riesgo: Asegurarse de que todos sepan la importancia del enfoque basado en el proceso y el pensamiento basado en el riesgo.

El resultado debería ser una organización donde la seguridad de la información quede arraigada como parte de su cultura. (Leer más sobre cultura de la seguridad de la información)

  • Asegurando que los recursos para el SGSI están disponibles
  • Garantizando que se comunica correctamente a todos la importancia del SGSI
  • Estableciendo objetivos sobre la seguridad de la información

Los objetivos de la seguridad deben ser el resultado de un plan de seguridad de la información basado en las políticas de seguridad y el análisis de riesgos para la seguridad de la información

Realizar la revisión del SGSI

Con estos requisitos sobre las responsabilidades del liderazgo vemos que la planificación, el establecimiento de objetivos y la revisión sobre el nivel de cumplimiento son ahora   temas considerablemente más importantes al ser una responsabilidad directa de la dirección o liderazgo de la organización

Promoviendo la mejora,

El compromiso con la mejora continua debería quedar reflejado en las políticas de seguridad de la información.

Citando la norma:

"Los resultados de la revisión de la gestión deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información"

Gestionar todos los recursos para garantizar que el sistema pueda cumplir los requisitos del SGSI.

Se trata de que la dirección debe procurar tanto los medios necesarios como a la capacitación requerida para desempeñas las distintas funciones sobre la seguridad de la información

Leer más sobre "RECURSOS" para el SGSI

RESUMIENDO

La alta dirección de la organización debe liderar la implantación del SGSI demostrando su compromiso con el SGSI:

  • Asegurándose de que las políticas y objetivos del SGSI están establecidos he integrados con los procesos de la organización
  • Asegurándose que el SGSI cuenta con los recursos necesarios para lograr los resultados esperados
  • Asegúrese de que las personas entiendan cuán importante es realmente la seguridad de la información. Aliente a los gerentes a demostrar su liderazgo y compromiso con la seguridad de la información dentro de sus propias áreas.

Implementando una estrategia de seguridad

Una estrategia de seguridad debe enfocarse básicamente en los procesos críticos así como en los  requisitos legales y normativos, sin olvidarse que la seguridad no solamente afecta a los sistemas de TI y a los que los administran. El departamento de compras que gestiona proveedores estratégicos o el de marketing que tiene acceso a datos de ventas y clientes debe estar considerado dentro de los riesgos en la seguridad de la información.

Establecer sistemas de seguridad o de soluciones middleware pueden ser controles adecuados para controlar a qué tipo de información puede acceder cada ejecutivo de marketing y minimizar así la cantidad de datos confidenciales almacenados en sus computadoras.

Por otro lado las soluciones tecnológicas no lo son todo en seguridad ni mucho menos.  Un liderazgo bien planteado consigue definir responsabilidades para cada trabajador de forma que pueda realizar un trabajo seguro. Esto no se consigue de la noche a la mañana pero las políticas, los planes de concienciación, el ejemplo de los directivos contribuyen a conseguir comportamientos seguros dentro de las rutinas de trabajo.

En ocasiones comprobamos que las mismas necesidades operativas de la Organización a menudo entran en conflicto directamente con las prácticas de seguridad, como los cortafuegos perimetrales, la autenticación de puertos, la administración de configuración centralizada y ciertos sistemas de autenticación. En este caso deberemos tomar soluciones de compromiso donde se equilibren los requisitos de seguridad y privacidad al tiempo que se acomodan las necesidades de los usuarios finales.

CASO PRACTICO:

Tomemos como ejemplo una organización con una red con una variedad de tipos de usuarios donde nos encontramos con usuarios temporales, altas de nuevos empleados que llegan con sus equipos, empleados que comparten grandes cantidades de datos, accesos remotos a servicios de red para personas que viajan o tele trabajan etc.

En este caso el uso amplio de cortafuegos para proteger sistemas críticos accedidos desde la red entraría en conflicto con su aplicación en zonas perimetrales para permitir accesos temporales, redes de alta velocidad etc.

En otros casos el uso de administraciones centralizadas es muy adecuado en ciertas configuraciones pero pueden ser menos adecuados para el uso eficaz de aplicaciones y equipos individuales y otros sistemas.

Así que las recetas no suelen ser aplicables en todos los escenarios por lo que al final, las prácticas de seguridad y privacidad deben integrarse en las prácticas operativas de forma que tengan sentido y sean útiles.

Como conclusión diremos que la gerencia debe adoptar las estrategias correctas para decidir dónde y cómo asignar los recursos para la seguridad de la información.

5.2 Política

Se debe establecer en primer lugar una política de seguridad de la información a nivel de la organización que sea conforme a los requisitos de la norma ISO 27001 donde

  • Se definan de forma clara los objetivos y metas de la seguridad de la información de cara a la protección de la confidencialidad, integridad y disponibilidad de su información
  • Reflejar el compromiso y el apoyo de la alta dirección para que el SGSI cumpla con los requisitos de la norma ISO 27001
  • Se considere el alcance del sistema de gestión de la seguridad de la información, su importancia para el negocio
  • Se definan los deberes y responsabilidades de los empleados y con respecto a los riesgos para la seguridad de la información, por ejemplo, la responsabilidad de manejar y procesar a información confidencial de la compañía de manera que se mantenga protegida.
  • Se establezca lo que es aceptable o no aceptable con respecto al comportamiento y uso de sus recursos (por ejemplo, uso aceptable del sistema de correo electrónico de la compañía)

Por otro lado conviene que se determine dentro de la política sobre la seguridad de la información, la necesidad de llevar a cabo las actividades comerciales de conformidad con las leyes y regulaciones, obligaciones contractuales, mejores prácticas y estándares que también deban cumplir (por ejemplo, el cumplimiento de las leyes sobre derechos de autor, privacidad / protección de datos y uso / uso indebido / abuso de computadoras etc.)

Finalmente en la política debería hacerse referencia a cualquier otro documento que se detenga debe conocer y cumplir (por ejemplo, políticas y procedimientos de seguridad más detallados, así como cualquier otro procedimiento relevante que no esté directamente relacionado con la seguridad). Se trata de instrucciones o directivas específicas de la industria, sector o actividad desarrollada por la empresa.

La redacción de la política de seguridad debe estar realizada de forma que la entiendan todos los puestos dentro de la organización y no solo las personas con antecedentes técnicos o ciertas calificaciones o habilidades profesionales.

Más información para la redacción de la POLITICA del SGSI

Aprobación, Comunicación y Sensibilización.

Para garantizar que la política del SGSI es apoyada por la dirección debería ser aprobada y firmada por el CEO o alguien con autoridad similar

Por otro lado, la política debe comunicarse a toda la organización a todo el personal y las partes interesadas no importa por que medio (papel, medios electrónicos otros)

Todos los empleados deberían leer de vez en cuando además de comprender lo que dice la política sobre sus responsabilidades y deberes específicos de seguridad de la información.

Esta política debe revisarse y actualizarse según sea necesario para incorporar los cambios del entorno de riesgo de seguridad de la información y los desarrollos y cambios organizativos en evolución.

El proceso de revisión de la política debe integrarse dentro del proceso de revisión y de mejora continua del SGSI aunque si la política es un documento de alto nivel que se apoya en otros de desarrollan aspectos más detallados de la seguridad de la información, este documento no suele estar sujeto a demasiados cambios a lo largo del tiempo.

5.3 Roles y responsabilidades

Como hemos dicho en los dos puntos anteriores la seguridad de la información debe ser un compromiso de la dirección de una organización entre otras cosas para que la gestión de la empresa este coordinada en cuanto a sus necesidades operativas y las necesidades de la seguridad de la información

También se deben asignar las responsabilidades para llevar a cabo las tareas específicas de seguridad de la información designando a las personas adecuadas dentro de la organización.

Al propietario de un sistema de información se le debe dar la responsabilidad de la seguridad de la información y la responsabilidad de dicho sistema aunque, estos propietarios pueden delegar la implementación diaria de la seguridad en otra persona o proveedor de servicios, pero en última instancia siguen siendo responsables.

Algunos Roles típicos en Seguridad de la información

  • Director de seguridad de la información:
    Un puesto directivo de alto nivel responsable de toda la división / personal de seguridad de la información. El puesto puede incluir trabajos técnicos prácticos.
  • Consultor / especialista en seguridad:
    Títulos amplios que abarcan cualquiera o todos los demás roles / títulos, que se encargan de proteger computadoras, redes, software, datos y / o sistemas de información contra virus, gusanos, software espía, malware, detección de intrusiones, acceso no autorizado, ataques de denegación de servicio y una lista cada vez mayor de ataques de piratas informáticos que actúan como individuos o como parte del crimen organizado o gobiernos extranjeros.
  • Analista de seguridad:
    Analiza y evalúa las vulnerabilidades en la infraestructura (software, hardware, redes), investiga las herramientas disponibles y las contramedidas para remediar las vulnerabilidades detectadas y recomienda soluciones y mejores prácticas. Analiza y evalúa los daños en los datos / infraestructura como resultado de incidentes de seguridad, examina las herramientas y procesos de recuperación disponibles y recomienda soluciones. Pruebas de cumplimiento de políticas y procedimientos de seguridad. Puede ayudar en la creación, implementación y / o administración de soluciones de seguridad.
  • Ingeniero de seguridad:
    Realiza monitoreo de seguridad, seguridad y análisis de datos / registros, y análisis forense, para detectar incidentes de seguridad, y monta respuesta a incidentes. Investiga y utiliza nuevas tecnologías y procesos para mejorar las capacidades de seguridad e implementar mejoras.
  • Arquitecto de seguridad:
    Diseña un sistema de seguridad o componentes principales de un sistema de seguridad, y puede encabezar un equipo de diseño de seguridad que cree un nuevo sistema de seguridad.
  • Administrador de seguridad:
    Instala y administra sistemas de seguridad en toda la organización. También puede asumir algunas de las tareas de un analista de seguridad en organizaciones más pequeñas.
  • Desarrollador de software de seguridad.
    Desarrolla software de seguridad, que incluye herramientas de monitoreo, análisis de tráfico, detección de intrusos, detección de virus / spyware / malware, software antivirus, etc. También integra / implementa seguridad en aplicaciones de software.
  • Criptógrafo / criptólogo:utiliza el cifrado para proteger la información o para crear software de seguridad. También trabaja como investigador para desarrollar algoritmos de cifrado más fuertes.
  • Analista Criptográfico:
    Analiza la información cifrada para romper el código / cifrado o para determinar el propósito del software malicioso.
  • Usuarios autorizados de sistemas de información.
    Además, todo el personal tendrá la responsabilidad general de la seguridad de la información relacionada con su trabajo diario. Por ejemplo, informar sobre comportamientos inusuales o sospechosos relacionados con su uso de TI, servicios de red o relacionados con otro personal o visitantes. Por otro lado, todo el personal debe ser consciente de su responsabilidad de mantener seguras sus contraseñas y otros tipos de códigos de acceso, para garantizar que estén utilizando los recursos de la organización de acuerdo con la política de uso aceptable (por ejemplo, reglas para usar el correo electrónico para enviar archivos adjuntos etc.).

Recursos

A la hora de enfrentar la tarea de la seguridad de la Información deberemos pensar en si contamos con los recursos adecuados en relación tanto a los medios necesarios como a la capacitación requerida para desempeñas las distintas funciones sobre la seguridad de la información

Cuando hablemos de funciones técnicas, entonces el puesto involucrado debe tener el nivel adecuado de conocimientos y habilidades para manejar los requisitos técnicos del trabajo en cuestión para resolver problemas técnicos y poder utilizar técnicas, métodos, equipos y procedimientos relevantes para el Área técnica en cuestión.

La gerencia debe garantizar que, para las tareas específicas de seguridad de la información, tenga las personas adecuadas, con las habilidades, el conocimiento y la experiencia adecuados.  Esto lo podemos afrontar desde la contratación del personal adecuado o mediante un programa de capacitación para que desarrolle las habilidades y la experiencia adecuadas

Finalmente, el personal que trabaja en el campo de la seguridad de la información debe mantenerse actualizado a medida que los problemas y riesgos en la seguridad de la información evolucionan continuamente, al igual que la tecnología y las prácticas comerciales.