Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
GOBIERNO DE SEGURIDAD DE LA INFORMACION Integración al Gobierno Corporativo © Ing. Carlos Ormella Meyer
El Aseguramiento de la Información y el Corporate Governance El aseguramiento de la información viene evolucionando al pasar por distintas etapas marcadamente diferenciadas. Al principio, en lo que podría llamarse una primera Ola, las características del aseguramiento eran básicamente técnicas en los ámbitos de computación de la época, mainframes y minicomputadoras, terminales tontas y procesamiento centralizado. En estos ambientes se usaban facilidades de los sistemas operativos, tales como Listas de Control de Acceso, ACL, identificación de usuarios y contraseñas, más restricciones al acceso físico a los equipos centrales. Un cambio notable se produce en los primeros años de los ´80, una segunda Ola, con el advenimiento de la computación distribuida, las redes locales y, un poco después, Internet y los albores del e-commerce. En los nuevos ambientes, adicionalmente a las medidas técnicas, se hizo necesario establecer políticas, procedimientos y un nivel de gestión ya no exclusivamente técnico. Hacia fines del siglo pasado y principios de la primera década del 2000, una tercera Ola se produjo con un fuerte desarrollo de la gestión y su proyección con clientes y proveedores, con diferentes formas de aseguramiento como seguridad de la información institucionalizada bajo normas de alcance global. También surgió la necesidad de motivar la concientización y de hecho una cultura corporativa adecuada a la nueva situación. Finalmente, desde mediados de la década pasada, se viene registrando una cuarta Ola al ir fortaleciéndose la idea de tomar conciencia que la seguridad de la información es parte de los negocios, puesto que la información es un activo corporativo crítico para mantener sustentables las operaciones corporativas. El nuevo escenario delineado conduce a que la seguridad de la información se extienda a un Gobierno de la Seguridad de la Información que se integre al Gobierno Corporativo de una organización. Revisemos primero los principales conceptos del Gobierno Corporativo, mientras que el primero se verá más adelante. Gobierno Corporativo o Corporate Governance: Se define en cómo dirigir y administrar una empresa, así cómo controlar adecuadamente las operaciones por medio de un sistema de controles internos. Esto implica la forma en cómo se toman las decisiones corporativas, después de ajustar los intereses de las partes interesadas, para definir la dirección y ejecutar las decisiones tomadas. 21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Página 1 de 6
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
Principios del Corporate Governance . La Organización para la Cooperación y Desarrollo Económico, OECD (OCDE en español), ha establecido seis Principios de buenas prácticas para velar por los propietarios o accionistas (shareholders) y en general por todos los interesados (stakeholders) en el correcto devenir de una empresa. Uno de dichos Principios titulado Responsabilidades del Directorio de una empresa, expresa textualmente en el encabezamiento: “El marco de trabajo del gobierno corporativo debiera asegurar una guía estratégica de la empresa, el monitoreo específico de la gestión por parte del directorio, y la rendición de cuentas del mismo a la empresa, socios y el resto de las personas interesadas en la misma.” El párrafo anterior implica la separación entre gobierno y gestión, de modo tal que en general la junta de gobierno o directorio de una empresa ejerce el gobierno de la misma y monitorea la gestión realizada a otro nivel. Para ello, el directorio establece políticas y vigila que existan controles adecuados, entre otros referidos a la Gestión de Riesgos, la que pasa a ser responsabilidad de la gerencia ejecutiva, en pos de ayudar en la protección de los activos importantes de la empresa. Por otra parte, el mismo Principio mencionado establece que el Directorio tiene que cumplir con ciertas funciones claves, tales como revisar y conducir la política de riesgos y determinar los tipos y nivel de riesgos que una empresa está dispuesta a aceptar en el cumplimiento de sus objetivos, así como también asegurar la integridad de la información corporativa, contando con sistemas adecuados de control, tales como los sistemas de gestión de riesgos, entre otros. Al considerar los riesgos corporativos hay que aplicar conceptos de taxonomía, estableciendo denominaciones y características, así como las interrelaciones correspondientes.. Esto implica como resultado una clasificación de los riesgos corporativos, como indican las Directrices de Seguridad de los Sistemas de Redes e Información, también de la OECD, donde se establecen nueve Principios propios, dos de los cuales importan especialmente. Uno de los Principios de estas Directrices se refiere a la Concientización donde aparecen las personas individualmente y agrupadas, es decir, la gente, como concepto que incluye al individuo y al colectivo como grupos de individuos (1). A su vez, otro Principio de las Directrices considera la Valuación de Riesgos, en base a amenazas y vulnerabilidades, y establece que los factores que determinan los riesgos pueden ser de carácter tecnológico, físico y humano. También, que dicha valuación permita determinar el nivel aceptable de riesgo para así poder seleccionar los controles apropiados para la adecuada gestión de los riesgos. En esta clasificación surge el hecho práctico que pueden producirse eventos negativos debido al uso inadecuado y descuidado, no sólo de los sistemas informáticos sino también de otras fuentes de datos por parte de quienes manejan la información, o sea en cómo se concreta la parte operacional correspondiente.
21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Página 2 de 6
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
De hecho, las estadísticas muestran que las situaciones señaladas pueden causar mayor daño que las propias de la tecnología. Efectivamente, ocurre que aunque se tomen medidas de seguridad, sucede que muchas de estas medidas plantean cambios de conducta que pueden entrar en conflicto con los esquemas de las personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan. La mayor dependencia resultante de la gente amerita un replanteo del escenario original. Por otra parte, los riesgos de seguridad de la información implican un panorama corporativo integral que lleva incluso a considerar cómo es el aspecto organizacional de una empresa, las interrelaciones del organigrama y de la realidad, y la cultura corporativa que concibe la organización con una malla organizativa. Todo lo analizado señala en la práctica cuatro tipos de riesgos, los tradicionales riesgos técnicos de sistemas IT y los de carácter físico, los riesgos organizacionales recién señalados, y los riesgos operacionales, que obviamente están más allá de las cuestiones técnicas. La extensión del concepto usual de seguridad informática al de seguridad de la información (2), implica un corrimiento y visión más amplia de un marco de riesgos de negocios respecto de la perspectiva tradicional de seguridad técnica (Figura 1). Este escenario demuestra el error de la creencia bastante generalizada, lamentablemente en algunos sectores de alta y media gerencia de muchas empresas, respecto a que la seguridad es simplemente un problema de IT, que el área correspondiente debe resolver, y que por lo cual dicha gerencia se puede olvidar del asunto.
Figura 1
En conclusión, la alta gerencia debe interesarse y comprometerse en el aseguramiento de la información de negocios y el correspondiente gobierno de la seguridad de la información, al que nos referimos a continuación, como resultado de su integración al gobierno corporativo de la organización.
Gobierno de Seguridad de la Información Las decisiones y control de la gestión operativa propia del SGSI responden a decisiones estratégicas que la conectan con la vigilancia, rendición de cuentas y decisiones estratégicas, conceptos propios de un sistema de gobierno. De hecho, ya se dijo al hablar del Corporate Governance que la seguridad de la información debe responder a un esquema de gobierno, o sea, el Gobierno de la Seguridad de la Información.
21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Página 3 de 6
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
Un gobierno adecuado de la seguridad de la información formaliza el alineamiento de la misma con las estrategias y objetivos de negocios, la producción de valor, la asignación de responsabilidades y la rendición de cuenta por parte de los responsables, así como también proporciona capacidad en la toma de decisiones estratégicas corporativas, cumpliendo incluso con las leyes y regulaciones correspondientes. También, al tratar el tema del Gobierno Corporativo, surgió un punto importante referido a que cuando se habla de gobierno en general hay que destacar que en realidad hay diferencias entre el gobierno (governance) propiamente dicho y la gestión (management). Efectivamente, en este punto se puede decir en primer lugar que el área de cobertura del concepto gobierno es el del directorio, governing body y en algunos casos de la alta gerencia, top management, términos ambos definidos por la reciente ISO 27000:2014. Y complementariamente, se tiene que el área de cobertura del concepto gestión es el de la gerencia ejecutiva, executive management, de nuevo conforme con la ISO 27000:2014. O sea, el monitoreo de la gestión como responsabilidad de gobierno lo hará el directorio, governing body, lo que implica que habrá otra área de la organización que realizará la gestión correspondiente, precisamente la gerencia ejecutiva, executive management, de acuerdo con las denominaciones que mencionáramos antes. El Gobierno de la Seguridad de la Información ha sido plasmado recientemente en una nueva norma de alcance global. Se trata de la ISO 27014 de Gobierno de Seguridad de la Información que define el escenario bosquejado en los párrafos anteriores. Esta norma proporciona orientación respecto de conceptos y principios para el gobierno de la seguridad de la información, de modo tal que las organizaciones pueden evaluar, dirigir, monitorear y comunicar las actividades relacionadas con la seguridad de la información en el entorno de la organización. Concretamente, la ISO 27014 establece un marco de trabajo para la gestión de riesgos de seguridad correspondientes al conjunto de normas de la serie 27k, en la práctica un conjunto autosustentable de normas de seguridad de la información. El marco de trabajo se compone de seis Principios y cinco Procesos. Los Principios son conceptos de alto nivel orientados a la acción, según lo que sigue. Principo 1: Establecer la seguridad de la información en toda la organización. Principo 2: Adoptar un enfoque basado en riesgos. Principo 3: Fijar las directivas de las decisiones de inversión. Principo 4: Asegurar el cumplimiento de los requerimientos internos y externos. Principo 5: Fomentar un ambiente positivo de seguridad. Principo 6: Revisar el rendimiento en relación con las resultados de los negocios. Los Procesos, por su parte, son diferentes tareas implementadas en la interrelación entre el directorio y la gerencia ejecutiva en forma consecutiva y cíclica, según se expone a continuación. 21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Página 4 de 6
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
1 - Dirigir: El directorio establece las directivas de implementación conforme los objetivos y estrategias de seguridad de la información. 2 - Evaluar: La gerencia ejecutiva presenta sus propuestas al directorio en base a tales directivas. El directorio las evalúa y, si es necesario, reitera la etapa de Dirigir. 3 - Monitorear: El directorio establece el rendimiento de las medidas de implementación implementadas por la gerencia ejecutiva. 4 - Comunicar: Se establece una doble vía entre directorio y stakeholders, donde el primero recibe los requerimientos de los stakeholders para posteriormente informarles sobre los resultados acerca de la seguridad de la información que resulte apropiada para las necesidades específicas de los mismos. 5 - Garantizar: El directorio comisiona la revisión de los procesos a auditores independientes y objetivos quienes, a su vez, producen las recomendaciones correspondientes. Como conclusión de todo lo anterior, la norma habla en forma taxativa del Information Security Governance integrado al Corporate Governance. Por otra parte, conforme lo comentado antes, la norma también separa las funciones del directorio, o junta de gobierno, de la gestión ejecutiva de alto nivel, distinguiendo de hecho roles de gobierno, tales como el establecimiento de directivas y monitoreo por parte de la dirección, de los propios de la gestión, que se realiza a nivel gerencial. Las diferencias apuntadas entre gobierno y gestión en el área de la seguridad de la información, responden a un enfoque que suele generar confusiones en otros tipos de gobierno, incluyendo el propio de IT. Efectivamente, en los últimos meses se ha venido procurando comparar al Gobierno de Seguridad de la Información con el Gobierno IT . Resumidamente se puede decir que el Gobierno IT provee, básicamente a partir de la norma ISO 38500, una guía a la organización con respecto a que las decisiones estratégicas de IT también son funciones del directorio. En cambio, en el contexto del gobierno organizacional, la seguridad de la información tiene alcance total en todas las funciones de una organización como parte del aseguramiento de sus operaciones, lo que es coherente con la integración del Gobierno de la Seguridad de la Información al Corporate Governance. En definitiva, en el contexto del gobierno organizacional, el Gobierno de Seguridad de la Información y el Gobierno IT resultan entidades separadas, salvo una interacción a nivel precisamente de la seguridad IT o sea técnica 21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Figura 2
Página 5 de 6
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751 E-mail:
[email protected]
(Figura 2), conforme las diferencias señaladas antes entre Seguridad de la Información y Seguridad Informática. Se puede acotar finalmente que la Seguridad de la Información, potenciada ahora con el concepto del Gobierno de la Seguridad de la Información, puede acelerar el reconocimiento de lo errónea de la percepción que “la seguridad es un problema de IT” como se comentara antes. Y esto es, entre otras cosas, porque hoy ya se sabe que los incidentes no técnicos, especialmente en gran parte con alto contenido subjetivo y dependiente del conocimiento, actitud y comportamiento de las personas, pueden tener tanto o más trascendencia que los de IT en las operaciones de una organización.
Referencias (1) El Factor Gente y la Seguridad de la Información: http://www.criptored.upm.es/guiateoria/gt_m327f.htm (2) ¿Seguridad Informática vs. Seguridad de la Información?: http://www.criptored.upm.es/guiateoria/gt_m327d.htm
21/05/2014 - 09:16:17 AM
© Ing. Carlos Ormella Meyer
Página 6 de 6