Preparándose para la continuidad de negocio y la seguridad de la información en El Salvador

Transcripción

1 Por: Javier Rosado Audisec Seguridad de la Información España Douglas Henríquez PwC Las empresas salvadoreñas se están preparando para fortalecer su seguridad de la información y su respuesta ante diferentes situaciones de desastre. Muchas de estas organizaciones están tomando como referencia los estándares internacionales ISO, concretamente ISO 22301, para la implantación de un Sistema de Gestión de continuidad de negocio (SGCN) e ISO 27001, para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). Sin embargo, las entidades financieras, como suele ser habitual en los países de todo LatAm, se rigen por las normativas que los bancos centrales, o las superintendencias de bancos y seguros, publican para que estas organizaciones mejoren en lo relativo a su seguridad de la información y su gestión de la continuidad de negocio, y además estén supervisados por estos organismos, lo cual garantizará el fortalecimiento de las entidades en estos aspectos. El Banco Central de Reserva de, en adelante BCR, publicó dos borradores de normas técnicas con fecha de 30 de junio de 2015, una para la implantación de un SGSI y otra para la implantación de un SGCN. Estos borradores están siendo tomados cuenta por las entidades financieras reguladas, adelantándose a la publicación de las normativas definitivas, ya que cuando sean publicadas las versiones definitivas, se contará con un plazo de entre 6 y 12 meses para su completa adecuación. Además, el mercado de hoy en día, demanda que las organizaciones estén preparadas para saber gestionar cualquier situación de crisis que se pudiera presentar y que podría poner en riesgo los objetivos de la misma e incluso la continuidad de sus operaciones en el tiempo. Por ello, existe ya una cultura sobre esta materia y que además se ve apoyado por este tipo de normativas. Si bien, antes de comenzar con el análisis de sus diferentes puntos, vamos a aclarar los sujetos que estarán obligados a la implantación de estos requerimientos, destacando que realmente cualquier organización en El Salvador podría utilizarla como referencia, ya que son muchísimas las similitudes que podemos encontrar con las normativas ISO mencionadas anteriormente. Los sujetos de aplicación para estas normativas del BCR serán los bancos constituidos en, conglomerados financieros, sociedades de seguros, bolsas de valores, bancos cooperativos, inversionistas, sociedades de sistemas de pagos, el Fondo Social para la Vivienda, el Fondo Nacional de Vivienda Popular, el Instituto de Previsión Social de la Fuerza Armada, el Banco de Fomento Agropecuario, el Banco Hipotecario, el Banco de Desarrollo de, entre otros. En las siguientes líneas, se van a resumir los requerimientos que establecen ambas normativas desde un punto de vista integrado, ya que la seguridad de la información y la continuidad de negocio deberían ir de la mano. Una organización debe estar preparada y saber hacer frente ante un posible ciberataque, por lo que cualquier vulnerabilidad de seguridad puede provocar la necesidad de activar una situación de crisis e incluso el despliegue de una situación de contingencia; asimismo, desde el punto de vista contrario, una organización que esté haciendo frente a cualquier tipo de situación de desastre, no puede dejar de lado la seguridad de la información, ya que, en ese tipo de situaciones se suelen abrir brechas en la seguridad que, desgraciadamente, no se tienen en cuenta y pueden acrecentar de forma exponencial las consecuencias de la situación de desastre en la organización. Cómo inicio del análisis, cabe destacar que ambas normativas no se basan simplemente en una serie de medidas para mejorar la seguridad de la información o la continuidad de negocio, si no que nos invitan a implantar un sistema de gestión, lo que significa que esto no se tratará de un trabajo puntual para cubrir con una serie de requerimientos, sino que se promoverá el introducir estos sistemas en el día a día de las operaciones de la organización, para que bajo un ciclo de mejora continua, estén siempre actualizados y ayuden a la consecución de los objetivos de las organizaciones. 1

2 Veamos ahora las principales actividades que una organización deberá realizar para poder gestionar su seguridad de la información y su continuidad de negocio, desde un punto de vista integrado, a lo que llamaremos el Sistema de Gestión Integrado (SGI). Estratégias Business Continuity Plan Disaster Recovery Plan Controles de seguridad Crisis Analisis de Riesgos Pruebas Análissi de Impacto en el Negocio Incidentes Política Capacitación Roles y responsabilidad es SGI Auditoría Roles y Responsabilidades Ambas normativas del BCR dedican su capítulo II a la definición de las responsabilidades para los roles que serán comunes a ambas. Estos son la Junta Directiva, Alta Gerencia, Comité de Riesgos y Unidad de Riesgos, e incluso un área especializada para la seguridad de la información, que del mismo modo debería de ser para continuidad de negocio. Es importante definir desde el principio los roles y actores dentro de estos sistemas de gestión para la correcta gestión en las organizaciones, así cada uno de los participantes sabrá cómo actuar y cuáles son sus responsabilidades para la consecución del existo del SGI. 2

3 Actividades mínimas Las organizaciones deberán realizar, al menos, las siguientes actividades para poder contar con el SGI implementado: Definición del alcance. Instauración de una política de seguridad y continuidad de negocio integrada. Realización de la evaluación de riesgos de seguridad y continuidad, así como el análisis de impacto al negocio (BIA). Elaboración de los planes de tratamiento de riesgos, implementación de estrategias y planes de continuidad. Medición de la efectividad de controles y el resultado de las pruebas de los planes. Capacitación y cultura en continuidad y seguridad. Definición de una estrategia de gestión de crisis. Registro de incidentes y cambios significativos. Revisión del sistema integrado. BIA y RA Uno de los aspectos más destacables del SGCN y el SGSI, son el análisis de impacto al negocio (BIA) y el análisis de riesgos (RA) ya que desde esta fase se puedan comenzar a identificar los procesos más críticos y la preparación de la organización a los posibles riesgos que se le pudieran presentar. Bajo el enfoque del SGI, podemos realizar el BIA para identificar la criticidad de los procesos y además para ir armando el inventario de activos, ya que no solo identificaremos los recursos críticos sino los activos relacionados con cada proceso, para posteriormente poder analizarlos en términos de Confidencialidad, Integridad y Disponibilidad. Y, como parte de un análisis de riesgos integrado, podremos identificar los riesgos, así como medir la efectividad de los controles que pudiera tener ya implantados la organización, ya que a nivel de seguridad se estarán solicitando controles de: 3

4 El resultado del BIA y el RA servirá para la definición de los planes de tratamiento y las estrategias. Planes de tratamiento y Estrategias Con el resultado del análisis de riesgos se podrán tomar decisiones en cuanto a los controles a aplicar, tomando en consideración los controles que no estén debidamente implantados de los sugeridos por la normativa de seguridad de la información, así como empezar a valorar las diferentes opciones de estrategias de continuidad. De los planes de acción, podremos obtener la planificación necesaria para conseguir madurar en los aspectos de seguridad de la información, así como en lo relativo a los riesgos de continuidad de negocio. Y del lado de las estrategias, podremos llegar a definir los planes de continuidad y planes de recuperación, con los recursos necesarios para cada uno de ellos. Pruebas y evaluación de la efectividad de los controles La planificación y ejecución de pruebas es un aspecto fundamental para el éxito del SGCN, ya que permitirá detectar posibles desviaciones que eviten que sean incidentes el día de una crisis real. Respecto a la seguridad, la revisión de la efectividad de los controles deberá llevarse a cabo de forma periódica para garantizar el fortalecimiento en seguridad de la información por parte de la organización. Tercerización Llevar un control de los proveedores para preservar la seguridad de la información y verificar que se mantienen los criterios de continuidad, es otra de las labores a desarrollar como parte de la implementación y mantenimiento de un SGI. Además de la parte contractual o lo reflejado en un acuerdo de nivel de servicio (SLA), se debería realizar una evaluación periódica del desempeño de cada uno de los proveedores críticos y vitales para el negocio. Auditoría Interna Como garantía del cumplimiento en lo dispuesto en las normativas de gestión de la seguridad de la información y la gestión de la continuidad de negocio, se deberá realizar una supervisión por la unidad de auditoría interna al SGI, al menos una vez al año. Recomendaciones Se recomienda que las entidades realicen un diagnóstico sobre cómo se encuentran actualmente de acuerdo a estándares internacionales relacionados a los sistemas de gestión mencionados anteriormente, como un punto de partida para identificar brechas que permitan establecer un plan de remediación a futuro para lograr una mejorar madurez de ambas gestiones. Asimismo, se recomienda el implantar soluciones tecnológicas de apoyo, lo cual facilita la implantación de los estándares internacionales y hacer más eficiente las actividades de ambas áreas de gestión. PwC pone a disposición de la industria financiera soluciones como diagnósticos de la gestión actual de Seguridad de la Información y continuidad de negocio para poder identificar brechas y establecer planes de remediación que permitan llevar a las organizaciones a una mayor madurez de cara a los estándares internacionales. 4

5 Todas las actividades y tareas que conforman la implantación y mantenimiento del SGI se pueden ver apoyadas con la solución GlobalSUITE, un software desarrollado para la gestión integral de sistemas mediante sus diferentes productos. Para el caso del SGI, se puede apoyar en los productos GlobalSUITE Information Security, para la gestión del SGSI; y GlobalSUITE Business Continuity, para la gestión del SGCN. Todo ello bajo una gestión integrada permitiendo así la optimización de los tiempos y el uso de recursos en la ejecución del cumplimiento de todos los requerimientos. Gracias a las funcionalidades de encuestas de BIA y Riesgos, el levantamiento de la información para estos procesos se ejecuta en menor tiempo, permitiendo así que los resultados de una correcta gestión de la seguridad de la información y la continuidad de negocio, sean visibles en la organización en un tiempo record PricewaterhouseCoppers. En este documento, PwC se refiere a PwC, firma miembro de PricewaterhouseCoopers International Limited, cada firma miembro constituye una entidad legal autónoma e independiente. Este contenido es para propósitos de información general, y no debe ser usado como sustituto para consultas con asesores profesionales. 5