Este artículo fue elaborado por los integrantes del Área de Seguridad de la Información de ANCAP. 2

Transcripción

1 SEGURIDAD DE LA INFORMACIÓN ANCAP apunta a la mejora en la gestión de la seguridad de la información 1 Introducción La información es un activo que, como otros activos comerciales importantes, es esencial para el negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta creciente interconectividad, la información ahora está expuesta a un número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades. 2 La información puede existir en muchas formas. Puede estar impresa o escrita en un papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome la información, o medio por el cual sea almacenada o compartida, siempre debiera estar apropiadamente protegida. La seguridad de la información se propone la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. La seguridad de la información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales específicos. Esto se debiera realizar en conjunción con otros procesos de gestión del negocio. 1 Este artículo fue elaborado por los integrantes del Área de Seguridad de la Información de ANCAP. 2 Las líneas anteriores son una versión adaptada, no textual extraída de la Norma UNIT-ISO/IEC27000 para Gestión de la Seguridad de la Información. 34 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

2 En nuestro país, la gestión de la seguridad de la información se ha convertido en una política de Estado, consignándose en el Decreto 450/09 que: 3 Se debe disponer medidas para garantizar la confianza y seguridad de los sistemas y de la información en poder de los organismos públicos. Que con el fin de proteger los activos de información y minimizar el impacto en los servicios causados por vulnerabilidades o incidentes de seguridad se debe proveer una efectiva gestión de la seguridad. Dicho Decreto obliga a las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional a adoptar en forma obligatoria lo establecido en el mismo y exhorta a los Gobiernos Departamentales, los Entes Autónomos, los Servicios Descentralizados y, en general, a todos los órganos del Estado a adoptar las mismas disposiciones. ANCAP comenzó un proceso de definición y mejora de la Seguridad de la Información que desembocará en la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Respondiendo a la exhortación contenida en el Decreto 450/09, la Dirección de ANCAP, consciente de los beneficios que se obtienen mediante la implantación de un SGSI, decidió en diciembre del año 2010 iniciar un proceso para incorporar la gestión de la seguridad de la información en la Empresa. 3 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

3 La información que ANCAP posee -la cual puede encontrarse contenida en diferentes medios y formas- constituye un activo imprescindible para que esta logre alcanzar los objetivos estratégicos definidos. Es por ello, que dichos activos deben ser protegidos de cualquier amenaza que comprometa su confidencialidad, integridad y disponibilidad, para lo cual es necesario contar con un SGSI. Los comienzos A partir del Decreto 450/09, El directorio de ANCAP aprobó en 2010 la Política de Seguridad de la Información que supuso una declaración formal de la importancia de proteger los activos de información y de la voluntad y propósito de ingresar en un proceso de implantación de un Sistema de Gestión de la Seguridad de la Información. Así, creó un Comité multidisciplinario y representativo de todas las áreas de negocios y servicios de ANCAP y designó un Coordinador de Seguridad de la Información. Luego de su constitución formal, todos los integrantes del Comité, participaron de cursos dictados por el Instituto Uruguayo de Normas Técnicas, que le permitieron profundizar en el alcance de las normativas referidas a la implementación de la Seguridad de la Información, contenidas en las ISO/IEC e ISO/IEC 27002, así como alinear y nivelar conocimiento y conceptos. Emergente de ese Comité, se conformó un equipo más reducido, con la finalidad de formular un Proyecto de Implantación de un Sistema de Gestión de Seguridad de la Información. Para su concepción, se definieron dos fases, una estructura de proyecto, la conformación de los equipos de trabajo, un cronograma y la necesidad de contratar asistencia externa. A tales efectos, se llevó a cabo el correspondiente proceso licitatorio, habiendo sido adjudicatario del mismo el consorcio integrado por CPA/Ferrere-Datasec. El proyecto -cuyos inicios tuvieron lugar en marzo de tiene un plazo previsto de ejecución de unos 15 meses y estaría finalizando en julio de este año. 36 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

4 Estructura para la gestión de la de Seguridad de la Información dentro de ANCAP Analizando las características, contexto y otros aspectos de ANCAP, se definieron los componentes que serían necesarios para llevar a cabo una apropiada Gestión de la Seguridad de la Información. En octubre del pasado año, viendo ya la necesidad de recursos así como la conveniencia de contar con una estructura mínima adecuada, se creó la Jefatura de Seguridad de la Información dependiente de la Secretaría General. La ubicación del área y del tema de la seguridad de la información en un área como la Secretaría General y no en TI como es común ver en otras organizaciones- es producto de una concepción de la seguridad de la información abarcativa y con grado de amplitud que excede los aspectos específicamente tecnológicos, como se verá. A la hora de analizar la ubicación de la estructura de Seguridad de la información dentro de una organización, normalmente se manejan dos alternativas: Que la misma dependa de la Dirección lo cual es, por diferentes motivos, la práctica recomendada por las normas internacionales en la materia, ya que las políticas, controles, etc. generadas en el área, son transversales a toda la organización. Esta opción, no es, sin embargo, por curioso que parezca la alternativa generalmente adoptada. En el caso particular de nuestro país, estructuras de este tipo son la excepción, no la regla. Que la misma dependa de Tecnología de la Información, la cual es la estructura más implementada en las organizaciones, aunque no la recomendable. En este punto es bueno destacar que el problema con este enfoque es que conceptualmente Tecnología de la información (y seguridad informática) es uno de varios elementos que componen un SGSI y la adopción de una estructura de esta características, generalmente es causa de que proyectos de esta naturaleza no tengan todo el éxito esperado, por diferentes motivos que no vienen al caso detallar. Como adelantamos, la estructura elegida en ANCAP para gestionar la Seguridad de la Información resultó ser la primera de las mencionadas, es decir, se decidió adoptar lo recomendado por las buenas prácticas: El cuadro precedente muestra la estructura de la Secretaría General -dependiente del Directorio- dentro de la cual una de las Jefaturas es la de Seguridad de la Información. TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

5 Los trabajos previos A grandes rasgos para la implantación de este sistema de gestión, inicialmente los activos de información deben ser inventariados y clasificados de acuerdo con la importancia que ellos tienen para la empresa y conforme a la normativa vigente a nivel nacional. A partir de allí entonces, se debe evaluar el impacto negativo que ocasionaría sobre los objetivos fijados, sus intereses estratégicos e incluso sobre la continuidad del negocio, la circunstancia de que estos activos se vieran afectados en cuanto a su confidencialidad, disponibilidad e integridad. Es necesario determinar entonces a qué nivel de riesgos se ven expuestos estos activos para gestionarlos, aplicando controles que permitan llevarlos a un nivel de riesgo aceptable para la dirección. Las etapas La ejecución del Proyecto comenzó -como se dijera líneas arriba- los primeros días de marzo de 2013, previéndose dos fases. La primera fase tiene un alcance global. Se definieron políticas de Seguridad de la Información muy genéricas de alcance a toda la organización y en estos momentos se está haciendo la difusión, concientización y capacitación de funcionarios de la empresa en aspectos generales relativos a la Seguridad con el propósito de lograr un efectivo involucramiento; procurando llevar el concepto de que la seguridad de la información es un aspecto necesario de la gestión en el día a día, particularmente en organizaciones de la complejidad y tamaño como los de ANCAP. La segunda fase tiene un alcance específico. Se está realizando el diseño y la implantación de un SGSI completo en un área piloto. Por el hecho de manejar información muy sensible y relevante para ANCAP, fue seleccionada el área de Exploración y Producción. Ambas fases -que implican una etapa de transferencia de conocimientos- se están llevando a cabo en forma conjunta. Una vez culminada la segunda fase, se habrá acumulado una importante experiencia, la cual será de suma utilidad para ir ampliando el alcance del sistema de gestión en otras áreas de ANCAP. 38 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

6 El proceso de cambio cultural en ANCAP La seguridad como tal se gestiona, no es algo estático, la gestión de la seguridad de la información es un proceso de mejora continua. La seguridad no es un estado, es un proceso. Para que las medidas de control perduren en el tiempo deben ser eficaces y eficientes. Para ello es necesario internalizar que es un proceso permanente. Hasta hace algunos años las organizaciones implementaban medidas de seguridad de forma reactiva y no proactiva, es decir, reaccionaban ante un evento de seguridad puntual en lugar de prepararse para prevenirlos. No existía un enfoque para un tratamiento sistemático de este tipo de incidentes. Tomando como ejemplo las campañas de seguridad vial, se debe comenzar por reconocer que en muchos aspectos es necesario iniciar un proceso de cambio cultural que puede llevar años. Este proceso de cambio estará inicialmente compuesto por: 1. La formalización de roles y responsabilidades, así como por la implementación de políticas, procedimientos y controles específicos, que buscan especialmente prevenir la ocurrencia de amenazas concretas y reducir las principales vulnerabilidades que pueden existir en la empresa. Estas políticas son de alcance general y engloban a toda la empresa, asignando roles y responsabilidades. 2. La difusión y comunicación de las principales razones que justifican estos cambios. Cuáles son los riesgos a los cuales estamos expuestos? Cuál ha sido el impacto de los incidentes de seguridad que han ocurrido? Estos son algunos elementos que deben ser conocidos. Para ello el área de Seguridad de la Información está por poner a disposición de todos los funcionarios un siste- TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

7 ma para reportar incidentes, en el cual pueden reportar cualquier incidente relacionado a la seguridad de la información o vulnerabilidades en el proceso de negocio. Formulario para Reporte de Incidentes online El reporte es un insumo básico para determinar el contexto de seguridad que posee la empresa hoy en día y actuar en consecuencia para lograr la mejora continua. 3. La difusión y la comunicación de las mejores prácticas que todos debemos seguir para lograr impulsar este proceso de mejora de la seguridad de la información. La concientización en materia de Seguridad de la Información es comparable a lo que ocurrió -como se dijo- en el área de la seguridad vial, donde muchas personas hasta hace un tiempo no conocían el impacto que en la sociedad tenían los accidentes de tránsito y desconocían el valor del uso del cinturón de seguridad, el casco o la silla de seguridad para los niños. Este proceso de cambio cultural ha llevado décadas y aún hoy sigue en marcha. En el caso de la Seguridad de la Información este proceso recién comienza en ANCAP. Se debe identificar y hacer conocer el impacto que tienen para la organización los incidentes que ocurren en materia de seguridad. Se debe entender el valor de los diferentes controles para la reducción de los riesgos a los cuales estamos expuestos. Mediante charlas presenciales se pretende llegar a todos los funcionarios que usen un pc como medio de trabajo; actualmente se han capacitado alrededor de 500 personas y se continúa con el proceso de capacitación aspirando llegar a todos los órdenes: dirección, gerencial, jefaturas, profesionales, supervisores y buena parte de las áreas administrativas. El contenido de las charlas, hace referencia a temas, conceptos y buenas prácticas en lo que refiere a Seguridad de la Información que aplican tanto para el ámbito laboral como para el ámbito personal del funcionario, lo cual genera interés y curiosidad, y sobre todo, mucho Awareness. Sumado a ello, este año se incluyó la temática de la seguridad de la información en las charlas de inducción a los nuevos funcionarios que ingresan, habiendo llegado ya en una primera instancia a más de 100 de ellos. 40 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN

8 Asimismo, se está trabajando para implementar otros canales para la educación en materia de Seguridad de la Información como por ejemplo la incorporación de capacitaciones en la plataforma corporativa de e-learning. La Gestión de la Seguridad de la Información genera valor La seguridad de la información tiene como objetivos centrales el contribuir a: asegurar la continuidad del negocio. minimizar posibles daños al negocio. maximizar oportunidades de negocios. Apuntando con ello a: Cumplir con las leyes y regulaciones gubernamentales, por ejemplo: o Ley de protección de datos personales. o Ley de acceso a la información pública. Reducir la incertidumbre en las operaciones de negocio. Dar confianza en que las decisiones cruciales se basan en información fidedigna. Dar confianza en las interacciones con socios comerciales y en la relación con los clientes. Proteger la reputación, imagen de ANCAP. Como Seguimos Como ya fue mencionado, la seguridad no es un estado, es un proceso. La seguridad bien entendida implica saber que la seguridad de hoy, no es la seguridad del mañana. Existirán nuevas amenazas que afecten a la información en el futuro, la seguridad deberá acompañar este cambio, es por eso que decimos que la seguridad se debe entender como un ciclo de mejora continua. Hoy surgen nuevas tecnologías, distintos tipos de servicios y soluciones empresariales basados en la nube, la tendencia al BYOD en la empresas (bring your own device, o traiga su propio dispositivo), etc. Como vemos estas tendencias hace un par de años atrás no existían y por lo tanto una solución de seguridad anclada al pasado quedaría totalmente obsoleta e ineficiente en el cumplimiento de sus objetivos. En este mundo cada vez más interconectado y vertiginoso no solo la seguridad debe acompañar este proceso, también se debe actualizar la normativa vigente para contemplar futuros escenarios. En este sentido AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento.) desde sus comienzos en el año 2007 viene haciendo una importante colaboración en este sentido. El 7/04/2014 se aprobó un decreto de Cyber-seguridad impulsado por esta agencia y que tiene como alcance a todos los organismos de la Administración Central. ANCAP en su estrategia de alineación a las leyes nacionales actualmente ya está trabajando para alinearse a los nuevos requerimientos legales por más que actualmente no sea mandatorio para los entes autónomos. TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN