plan de seguridad para nuevos modelos de negocios … · plan de seguridad para nuevos modelos de...

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS

BASADOS EN TIC

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

CONTADOR EDUARDO LUIS GARCÍA [email protected]

Departamento de Ciencias de la Administración

Universidad �acional del Sur

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC


DUTI 2015

Asociación de Docentes Universitarios de Sistemas y Tecnología de Información en Ciencias Económicas

X Jornadas – Salta 2015 – 24, 25 y 26 de Septiembre Pag. 2

• CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO

Propuesta de contenido.

• MODALIDAD DE PRESENTACIÓN SOLICITADA

Exposición.

• PALABRAS CLAVES

Seguridad – TICs – Sistemas - Administrativos

• RESUMEN

Los nuevos modelos de negocios basado en las Tecnologías de la Información y la Comunicación requieren de una nueva forma de posicionarse por parte de los profesionales de la administración, tanto en lo referido al negocio en si mismo como a la seguridad de la información de tal manera que la misma conserve su Integridad, su Privacidad y su Disponibilidad.

La vinculación de la empresa u organización con otras empresas, con sus clientes

y proveedores, con instituciones públicas y privadas, así como con sus propios empleados y asesores, se realizará desde múltiples dispositivos que accederán a redes dentro de la empresa: intranet; así como al resto del mundo por la vía de la vinculación entre redes de computadoras: extranet e Internet.

Si bien muchos de estos aspectos corresponden a los técnicos informáticos y otros

profesionales del sector, es necesario reiterar que esto plantea un problema de seguridad realmente significativo, que puede poner en peligro una parte del patrimonio de la empresa que adquiere cada día un mayor valor: LA INFORMACIÓN.

Por ello es que debemos formar a nuestros futuros egresados en la idea de que se

debe mejorar el Plan de Seguridad tradicional y trabajar sobre un Sistema de Gestión de la Seguridad de la Información en el que puedan intervenir, determinando cuál es la información que puede estar disponible para cada uno de los actores de estos nuevos modelos de negocios y la manera de protegerla adecuadamente.

I



DUTI 2015



1 INTRODUCCIÓN Este trabajo plantea una modificación en la propuesta de contenidos

relacionados con la seguridad en los Sistemas de Información incluyendo el Plan de Seguridad dentro del concepto de Sistema de Gestión de la Seguridad de la Información (SGSI).

Si bien se mantiene el concepto general de seguridad aplicado a todos los recursos o activos informáticos, esta Propuesta de Contenidos está centrada en la protección de la Información.

2 CONCEPTOS PRELIMINARES. A los efectos de realizar un encuadre de la propuesta, repasaremos algunos

conceptos preliminares.

2.1 Seguridad en los sistemas de información Se plantea a la seguridad como un CONJUNTO DE MEDIDAS o

MECANISMOS, que tiene por OBJETIVO PROTEGER, los denominados RECURSOS O ACTIVOS INFORMÁTICOS.

CONJUNTO DE MEDIDAS � PREVENTIVAS

– Mecanismos de prevención que se aplican para aumentar las fortalezas y reducir las vulnerabilidades, intentando evitar que las amenazas tengan posibilidad de concretarse

� DETECTIVAS – Mecanismos de detección que se utilizan para lograr percibir con

la mayor antelación un ataque. � CORRECTIVAS

– Mecanismos de restauración o recuperación. Plan de contingencia que se aplica cuando una amenaza se ha concretado para reducir sus consecuencias.

PROTEGER � CONFIDENCIALIDAD

– Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. La Confidencialidad requiere que la información sea accesible únicamente por las entidades autorizadas.

– Está asociada a la: o Autentificación: verificación de la identidad de los usuarios o Verificación: vigencia de los mecanismos de seguridad

� INTEGRIDAD – Es la propiedad que busca mantener a los datos libres de

modificaciones no autorizadas así como de borrados, cambios, alteraciones, etc.

– Se aplica a todos los recursos informáticos en el sentido de que no deben ser alterados, destruidos, robados, manipulados, etc.

� DISPONIBILIDAD



DUTI 2015



– “Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones”.

RECURSOS O ACTIVOS INFORMÁTICOS � HARDWARE

– Equipos – Medios de almacenamiento – Periféricos

� SOFTWARE – Sistemas operativos – Utilitarios y aplicaciones – Herramientas de desarrollo

� INSTALACIONES – Edificios y sus instalaciones – Provisión de energía – Redes informáticas

� INFORMACIÓN – Activo más importante de los sistemas de información – Bases de datos

� PERSONAS – Es el “activo” mas importante de la organización. – Todo lo demás se puede recuperar, las personas no. – Debe extremarse la seguridad para protegerlas.



DUTI 2015



2.2 Nuevas formas de comunicarse de las organizaciones que generan nuevos modelos de negocios

B2B – Empresa – Empresa Extranet: acceden a través de los accesos normales de Internet, a datos limitados

con accesos protegidos – Reflejan las relaciones existentes entre empresas – Se comparten datos de manera sencilla con entidades ajenas a la propia

organización, con beneficio mutuo. – Acceden socios, proveedores o clientes del negocio

B2C – Empresa – Cliente Internet: los consumidores acceden a través de los accesos normales de Internet, a

centros de atención al cliente integrados en la web – Reflejan las estrategias para llegar al consumidor final – Se relaciona con los clientes, ofreciendo productos o servicios siempre

actualizados – Los medios de pago electrónicos son parte del éxito – Acceden potenciales clientes o consumidores finales.

B2E – Empresa – Empleado Intranet: permite a los miembros de la organización, a través de las redes internas,

compartir información solo accesible para ellos. – Refleja las relaciones entre la empresa y sus personal – Dispone de diversos entornos de comunicación para acceder a la

información, compartirla y colaborar con otros. – Requiere de una constante actualización y gestión – La dirección dispone de toda la información importante.

Nuevas formas de Nuevas formas de comunicarse de la empresacomunicarse de la empresa

EMPRES ASEMPRESAS

CLIENTESCLIENTES

EmpresaEmpresa

B2BB2B

EMPLEADOSEMPLEADOS

ExtranetExtranetB2BB2B

B2CB2C B2E

B2E

ExtranetExtranet

IntranetIntranet

InternetInternet



DUTI 2015



2.3 Se amplían las nuevas formas de comunicarse

Nuevas formas de comunicarse

EMPRESAS

CLIENTES

Empresa

B2B

EMPLEADOS

ExtranetB2B Extranet

IntranetInternet

Gobiernos

C2C

G2G

C2C – Cliente – Cliente Internet: los consumidores acceden a diversas formas de intercambio con otros

consumidores sin necesidad de realizar un desarrollo propio – Incluye las modalidades de ventas o subastas – Se pactan las formas de pago y de entrega – Los medios de pago electrónicos son parte del éxito – Intercambian bienes nuevos o usados – Acceden los consumidores finales.

GOBIERNOS Internet: puede considerarse como una manera particular de la comunicación de las

empresas u organizaciones con los otros actores. G2C – Gobiernos – Contribuyentes

– Incluye tanto la comunicación e información general a todos los contribuyentes, como la realización de transacciones mediante el acceso limitado a datos protegidos.

G2G – Gobiernos – Gobiernos – Permite relacionar a los diversos estamentos de la organización estatal

como a dependencias gubernamentales entre sí. – Se logra compartir la información almacenada por Nación, Provincia y

Municipios (por ejemplo) para determinar la base imponible de las obligaciones

G2B – Gobiernos – Empresas – Las empresas como contribuyentes participan de la comunicación e

información general a todos los contribuyentes, así como de la realización de transacciones mediante el acceso limitado a datos protegidos.

– Los gobiernos generan comunicación con las empresas en su función de proveedores, contratistas, etc.



DUTI 2015



3 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. Relacionándolos con los objetivos y estrategias del negocio, una SGSI

ayuda a las organizaciones a definir políticas, crear procedimientos y controles para reducir el riego manteniéndolo dentro de los límites tolerables por cada una de ellas. Se trata de que cada organización conozca las amenazas asociadas con la seguridad de la información y que definan los procesos de gestión que hagan que los afecte en lo mínimo posible.

3.1 Normas ISO 27001 La seguridad en la información tiene asignado el 27000 dentro de los

estándares ISO/IEC. El estándar para la seguridad de la información ISO/IEC 27001 fue aprobado y publicado como estándar internacional en Octubre de 2005 siendo ampliado y modificado en el 2013.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

3.2 Objetivo de un SGSI El objetivo explícito de un SGSI está en su propia definición en la medida

que procurará organizar el diseño, la implementación y el mantenimiento del conjunto de procesos que permitan, eficientemente, el acceso a la información, garantizando la confidencialidad, integridad y disponibilidad de la misma.

Tratará de minimizar los riesgos a los que la información se ve expuesta y de mantener el nivel de eficiencia independientemente de los cambios, internos o externos, que sufra la organización.

Debería lograr reducir el riego por debajo del nivel de exposición que está dispuesto a asumir la organización. No obstante recordamos que todo sistema de seguridad reduce los riesgos, no los elimina.

3.3 Contenidos de un SGSI 1 Está dado por la misma ISO 27001 2 la cual hace referencia a los siguientes

elementos de la estructura de un SGSI, constituyéndolos en una jerarquía de niveles:

o Manual de Seguridad (Documentos de Nivel 1)

Es el documento que dirige y gobierna el SGSI, y que debería proporcionar una rápida identificación de los contenidos y estructura del sistema.

El documento más notable de este nivel es el manual de seguridad, en el cual se definen de una manera precisa y clara el alcance, objetivos, intenciones, políticas, etc... , del sistema de gestión de la seguridad de la información.

Mediante el manual de seguridad se desea mostrar y determinar las directrices principales del sistema, así como los objetivos, responsabilidades, intenciones, alcance, definiciones o políticas.

1 Especialización en Tecnologías de Seguridad - Universidad Alfonso X del Sabio 2 Normas ISO/IEC 27001



DUTI 2015



o � Procedimientos (Documentos de nivel 2)

Son documentos de control sobre los procesos de seguridad de la in-formación de la empresa.

Y su objetivo, es garantizar que se realice una eficaz planificación, control y operación sobre estos procesos.

En este nivel se agrupan todos los documentos relativos a los procedimientos a nivel operativo, así como los procesos de control y operación de los procesos propios de seguridad de la información

o � Checklists y formularios (Documentos de nivel 3)

Las Checklists, instrucciones y formularios, son documentos que recogen datos e información de cómo se desempeñan en la empresa todas las actividades que están relacionadas con la seguridad de la información.

Se incluyen todos los documentos que describen la manera de realizar las tareas y actividades directamente relacionadas con la seguridad de la información.

o � Registros (Documentos de nivel 4)

Todos los documentos de registros se agrupan en el último nivel. El objetivo de estos documentos es recoger pruebas y evidencias sobre el

cumplimiento o no de los requisitos del SGSI, por lo que normalmente están relacionados con documentos de los otros tres niveles.

Estos documentos contienen evidencia objetiva del cumplimiento o no cumplimiento de los requerimientos del SGSI implantado, y pueden ser considerados como el output de los otros tres niveles de documentos.

3.4 Alcance de un SGSI A menudo se piensa que las medidas de seguridad implementadas bajo

cualquier modalidad, lograrán eliminar los riesgos a los que se ve expuesta la organización en general y la información en particular.

Por eso definir el alcance de un SGSI es un aspecto crítico del éxito. Intentar que alcance a toda la empresa u organización puede no ser la mejor

experiencia por lo que implica en la asignación de recursos y por los cambios que repercutirán en todos los sectores.

Un buen punto de partida para vencer resistencias, es comenzar por aquellas partes de la organización en las que la seguridad aporte un mayor valor agregado.

Algunos criterios que pueden tenerse en cuenta son: – Agregarle valor a un servicio final, ya que la seguridad (especialmente si

está certificada) puede ser un atractivo para los clientes. – Reforzar procesos o servicios internos que impliquen una ventaja o

mejora para la propia empresa. En especial en los sectores que son responsables del cuidado de la información o en otras áreas como recursos humanos.

– Mejorar la gestión, si bien por sí misma la seguridad no implica una mejora en la gestión, en algunos procesos los SGSI se pueden utilizar como sistema de gestión y ayudar a mejorarla.



DUTI 2015



Modelo PDCAde “ciclo contínuo”

DO

CHECK

PLAN

ACT

COMIENZO

3.5 Modelo PDCA de ciclo contínuo para la implementación (ciclo de Deming)

La seguridad de la información está una contínua evolución.

La propia ISO 27001, propone el modelo de ciclo contínuo PDCA para la gestión de un SGSI.

3.5.1 Plan – Planificar Implica estudiar la situación de la empresa y analizar el valor de la

información y los riesgos a los que puede estar expuesta, estimando las medidas de seguridad para reducir al mínimo los riesgos.

Evidentemente no toda la información que atesora la empresa tendrá el mismo valor ni está expuesta a los mismos riesgos y vulnerabilidades.

Luego de estudiar la empresa se define el nivel de seguridad que requiere y las políticas de seguridad que se implementarán.

Se ha mencionado a los activos o recursos informáticos cómo los recursos que la estructura de seguridad debe cuidar.

Identificados claramente estos activos (hardware, software, instalaciones e información) se valoran las potenciales amenazas y se comienza a diseñar el PLAN para gestionarlos.

Un aspecto especial del PLAN está relacionado con las personas, recordando que es lo más valiosos de las organizaciones y que todo lo demás podrá ser recuperado, las personas no.

– Definir • Análisis de riesgo para cada activo • Procedimientos de seguridad • Documentación que se requerirá • Registros a crear para el control del sistema

3.5.2 Do – Hacer Conduce a implementar las medidas de seguridad convirtiendo los planes en

acciones partiendo del aspecto físico (servidores, routers, dispositivos para copias, etc.) para luego continuar con los procesos y controles definidos en la planificación.

Recordamos que toda la seguridad en la información a la que está abocado el SGSI, no debe dejar de lado otros aspectos que son imprescindibles para que el sistema de información opere correctamente:

– La seguridad relacionada con el Personal, que implica • Seguridad en el trabajo y en los recursos • Adecuada capacitación • Respuesta eficiente ante contingencias y fallas del sistema

– La seguridad física, de las instalaciones y del entorno, que implica • Seguridad de los equipos e instalaciones



DUTI 2015



• Controles y seguridad de carácter general comunes a toda la organización

• Definición de sectores de acceso restringido, tanto desde el punto de vista físico como en cuanto a la información

• Seguimiento de accesos y utilización por parte del personal Se desarrollan documentos que se constituyen en la columna vertebral del

modelo de seguridad de la organización: – Políticas de seguridad – Normas de seguridad – Procedimientos de seguridad – Instrucciones técnicas de seguridad – Políticas de uso

3.5.3 Check – Verificar Permite evaluar las medidas de seguridad y controles que se implementan

con el sistema de gestión – Se utilizan:

• registros de datos e incidencias, • indicadores de funcionamiento

– Revisar • Eficacia y eficiencia del sistema • Evaluaciones de riesgo • Registros generados por el sistema

3.5.4 Act – Actuar Esta fase puede ir desarrollándose a medida que la fase anterior va

detectando problemas o necesidades. Permitirá ir solucionando los problemas o errores encontrados, realizando

las modificaciones oportunamente.

3.5.5 Un círculo Virtuoso El procedimiento nunca termina, a la acción casi

concurrente de verificar y actuar, se agrega que luego de actuar se replanifica, retomando el ciclo.

Por otro lado, las fases pueden no ocurrir en

estricta secuencia una vez que el modelo está en marcha, pudiendo adelantarse algunas mientras se continúa con las anteriores.

Modelo PDCA UN CÍRCULO “VIRTUOSO”

HACER

VERIFICAR

PLANIFICAR

ACTUAR

El procedimiento nunca termina y después de ACTUAR, se vuelve a PLANIFICAR, renovando el ciclo.

En la realidad las fases no ocurren en estricta secuencia. Pueden adelantarse algunas mientras se continúa con otras anteriores.



DUTI 2015



4 CONCLUSIONES.

4.1 Disponibilidad de la información A diferencia de la falla de un componente físico del sistema que

normalmente impacta de forma evidente y notoria, cualquier falla en los datos como la caída del servicio, la pérdida o modificación de la información, la falta de acceso a los datos y otras fallas, pueden transformarse en algo que resulte difícil de advertir rápidamente para la organización.

Sin embargo, mantener disponible la información para todos los niveles y usuarios de la empresa puede ser la diferencia entre poder operar normalmente o no. Puede ser la diferencia, para una organización, entre sobrevivir o no en el medio.

4.2 La seguridad y el personal de la organización Toda aplicación de un SGSI y de un Plan de Seguridad que intente tener

éxito, debe involucrar al personal de la empresa tanto durante su elaboración y diseño como durante los procesos de recolección de registros y aplicación.

Ello conduce en forma directa a los profesionales de los sistemas de información que son los que tienen diversas responsabilidades en la planificación y definición de necesidades pero que también forman parte de la evaluación y el control de resultados

4.3 Los SGSI como propuesta de contenidos Si bien se trata de un contenido muy específico dentro de la formación de

nuestros profesionales, debe considerarse la presentación de los SGSI como una manera de tratar a la propia información que, cada vez más, se encuentra almacenada en forma distribuida, en redes internas y externas.

De esa información dependen las oportunidades de negocios y, en muchos casos, el éxito o fracaso de una organización.

Es imprescindible que todo el personal tome clara conciencia de ello y que el SGSI marque las pautas para crecer en la seguridad.

5 BIBLIOGRAFÍA

o Briano – Freijedo – Rota – Tricoci – Waldbott de Bssenheim – Sistemas de información gerencial – (Tecnología para agregar valor en las organizaciones) – Editorial PRENTINCE HALL - PERSON EDUCATION - 2011-

o Kendal y Kendal - ANÁLISIS Y DISEÑO DE SISTEMAS – 6º Edición - Editorial PERSON EDUCATION - 2008-

o Idalberto Chiavenato. “Comportamiento Organizacional” (La dinámica del éxito en las organizaciones) – Thomson Editores. 2011



DUTI 2015



1 INTRODUCCIÓN .......................................................................................................................... 3

2 CONCEPTOS PRELIMINARES. ...................................................................................................... 3

2.1 Seguridad en los sistemas de información ............................................................... 3

2.2 Nuevas formas de comunicarse de las organizaciones que generan nuevos modelos

de negocios ......................................................................................................................... 5

2.3 Se amplían las nuevas formas de comunicarse ........................................................ 6

3 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.............................................. 7

3.1 Normas ISO 27001 .................................................................................................. 7

3.2 Objetivo de un SGSI ................................................................................................ 7

3.3 Contenidos de un SGSI............................................................................................ 7

3.4 Alcance de un SGSI................................................................................................. 8

3.5 Modelo PDCA de ciclo contínuo para la implementación (ciclo de Deming) ........ 9

3.5.1 Plan – Planificar .............................................................................................. 9

3.5.2 Do – Hacer....................................................................................................... 9

3.5.3 Check – Verificar............................................................................................ 10

3.5.4 Act – Actuar................................................................................................... 10

3.5.5 Un círculo Virtuoso ........................................................................................ 10

4 CONCLUSIONES. ....................................................................................................................... 11

4.1 Disponibilidad de la información .......................................................................... 11

4.2 La seguridad y el personal de la organización ...................................................... 11

4.3 Los SGSI como propuesta de contenidos .............................................................. 11

5 BIBLIOGRAFÍA ........................................................................................................................... 11

plan de seguridad para nuevos modelos de negocios … · plan de seguridad para nuevos modelos de...

Documents