José Luis Arribas (Citibank), Jaime de Pereda (Grupo Auna) y Juan Carlos Yustas (Repsol YPF)
 |
GRUPO
AUNA Jaime de Pereda Responsable de Seguridad y Comunicaciones. Sistemas de Información |
- La integración de los sistemas de información de las diferentes empresas del grupo (la forma de enfocar la seguridad en cada empresa era diferente y, además, no se ha escogido una de ellas, sino que se está intentando integrar las mejores prácticas de cada empresa).
- El proyecto de externalización de la explotación. El modelo de interrelación con Explotación o Producción es muy diferente al de cada antigua empresa del grupo y al que se aplicaba el año pasado.
Las interrelaciones del departamento de Seguridad con las direcciones de proyectos TIC vienen marcadas por las siguientes líneas:
- Establecimiento de un Plan tecnológico de Seguridad. Este Plan se traduce en proyectos y acciones que involucran en muchas ocasiones departamentos diferentes al de Seguridad. La involucración de los otros departamentos puede ser como participantes, o incluso como líderes de estos proyectos. En el caso de los proyectos en los que interviene el outsourcer, la relación exige mucha más planificación, formalización y documentación que en la etapa anterior.
- Creación de un marco normativo de seguridad de múltiples aspectos, incluyendo el ciclo de vida de sistemas y aplicaciones. De este modo los departamentos de Ingeniería y Desarrollo de Aplicaciones disponen de pautas de seguridad a aplicar en todas las fases del ciclo de vida de cualquier sistema.
Por
otro lado, se pretende que las normas se traduzcan en procedimientos específicos
o en partes de los mismos, de modo que formen parte de las tareas de operación
normal y no requieran acciones de seguridad específicas ejecutadas
por personal específico.
- Intervención del equipo de seguridad en el flujo de peticiones/solicitudes
desde la fase de arquitectura hasta la de implantación de los proyectos
o servicios. Existen peticiones o solicitudes específicas de seguridad,
pero existen otras muchas en las que la seguridad es sólo un componente
más y no el de más peso. Por tanto, de estas peticiones
salen, tanto acciones específicas para el departamento de seguridad,
como acciones, lideradas o no por el departamento de seguridad en el que
intervienen otros grupos.
- Revisiones y/o auditorías de seguridad. Las revisiones de seguridad
hacen aflorar vulnerabilidades cuya resolución en muchas ocasiones
está en manos de los departamentos de explotación o desarrollo
de sistemas.
Por último, un aspecto que es importante tener en cuenta es que
las acciones del departamento de Seguridad, como las de cualquier otro,
deben ir orientadas al beneficio de la empresa y, normalmente, los departamentos
de desarrollo de aplicaciones están mucho más cercanos al
negocio que el de Seguridad. Esto, al final, conlleva la necesidad de
escuchar los requisitos planteados por los departamentos de Aplicaciones
para encontrar la solución que mejor satisfaga todas las necesidades.
| |
|
 |
CITIBANK
ESPAÑA José Luis Arribas Responsable de Seguridad de la Información |
"El
Modelo de Organización de Seguridad de la Información establecido
en Citibank, como parte de Citigroup (entidad financiera establecida en
más de 100 países), ya fue desarrollado en 1995, donde la
Seguridad es parte integrante del comité de Dirección, tanto
a nivel global como de los consejos directivos de cada país, reflejado
con la existencia de una estructura de Information Security Services
(ISS), la cual abarca tanto la parte de definición de políticas
y estándares, seguridad en la infraestructura, diseño y
construcción, siendo una faceta primordial la formación
y concienciación, como las relaciones con las diferentes organizaciones
internacionales de seguridad y grupos centrales de Respuesta a Incidentes
(SIRT) y análisis de Vulnerabilidades y amenazas (VTM).
Este modelo es integrado en la estructura de negocio mediante los Business
Information Security Officers (BISO) y con una fuerte relación
con las áreas técnicas. Uno de los roles más importantes,
a nivel local, es la formación y concienciación del personal,
generando una cultura de seguridad ampliamente entendida y conocida. Esto
requiere un robusto proceso de información sobre la aplicación
de las buenas prácticas de seguridad en el día a día
por todos los empleados, así como el seguimiento de su cumplimiento
en los sistemas, desarrollo, conocimiento de las vulnerabilidades, a realizar
tanto por las propias áreas de negocio, como por los grupos de
auditoría interna o corporativa.
En el ámbito de Negocio, se traslada a través de unos procesos
periódicos de Evaluación de los Riesgos en los Procesos,
para determinar el nivel de seguridad aplicable y detectar debilidades
o vulnerabilidades, y conocer los puntos de mejora o actualización.
Así mismo, en relación con los grupos de proyectos de TI,
ya está definida en su ciclo de vida una metodología específica
-al igual que en etapas anteriores pasó con la calidad como objetivo-,
que integra la seguridad en el diseño, desarrollo e implantación.
Cualquier nuevo proceso o mejora tiene definido un proceso específico
que requiere que la seguridad sea parte integrante del proceso, tanto
por parte de los líderes del proyecto (owner o patrocinador
del proyecto) mediante la aportación de los recursos necesarios,
como por los técnicos o desarrolladores, con la aplicación
de la tecnología apropiada en cada momento.
Igualmente, la seguridad en la infraestructura, redes y sistemas operativos,
forma parte del modelo, por lo que la evaluación periódica
es realizada de forma centralizada por expertos debidamente preparados.
Para ello los análisis de vulnerabilidades, actualización
de versiones (parches), control de cortafuegos, antivirus, así
como la realización de Ethical Hackings..., son debidamente
gestionados en el modelo, estos a nivel global.
También está contemplada una formación específica
para desarrolladores con el fin del adecuado conocimiento de las mejores
prácticas de desarrollo en prevención del uso inadecuado
de tecnologías restringidas, limitando en lo posible la introducción
o ataque a través de las vulnerabilidades en los diseños
o desarrollos.
Esta organización se completa con la existencia de un servicio de alerta ante incidentes -de procedencia interna y externa-, activado cuando se produce o detecta un posible incidente que pueda afectar a la seguridad de la información, para evaluarlo adecuadamente, escalarlo si procede, así como colaborar con otros grupos o negocios de la corporación, entidades locales o de la administración para su resolución.
El modelo de seguridad no olvida la continuidad del negocio y, por tanto, los diferentes elementos necesarios en caso de incidente o catástrofe han de ser igualmente contemplados durante el diseño del proyecto.
Mediante este modelo, en Citibank/ Citigroup intentamos mantener nuestros procesos y servicios en el más alto nivel de seguridad, en cualquier nuevo producto desarrollado, con una interrelación permanente entre las áreas de Negocio y la Dirección de Proyectos de TI, con una evaluación constante de la seguridad en prevención de todo tipo de ataques o intentos de intrusiones, ya que como primera entidad financiera mundial estamos en el punto de mira de todo tipo de hackers o intrusos, así como de cualquier otro error o amenaza, tanto externa como interna".
 |
REPSOL
YPF Juan Carlos Yustas Seguridad Lógica Corporativa |
La seguridad informática de cualquier empresa tiene que estar basada en una serie de documentos que reflejen las buenas prácticas, políticas, normas y procedimientos que fijen cómo realizar los procesos para proteger los activos del negocio. En Repsol YPF empezamos a trabajar en el desarrollo de esta política, normas y procedimientos hace más de seis años, basándonos en la normativa inglesa de la BS. En aquellas fechas, realizar una política dentro de una dirección de Sistemas de Información era una novedad que se entendió como un proceso lento que daría sus frutos posteriormente con una mayor concienciación en la compañía.
Los comienzos para introducir una política conllevan mover cimientos dentro de la empresa, como fueron la seguridad corporativa, auditoría, recursos humanos, servicios jurídicos, etc., que necesitaron una larga temporada hasta que comprendieron, adoptaron y asumieron los inicios de esta nueva cultura de la seguridad informática en la compañía. Después de varios años, este concepto está considerado como un elemento propio de los sistemas de información. Tras esta fase, hemos ido adaptando, modificándola y traspasándola de la BS a la ISO 17799, estando ya en un proceso final de consolidación de esta política.
La creación de políticas y el desarrollo de normas y procedimientos es un reto complicado en las empresas multinacionales debido a su magnitud, diversidad de culturas y legislaciones, múltiples procesos, complejos sistemas de CRM, tareas de unificación de criterios, grandes y variadas áreas de desarrollo que requieren un esfuerzo continuo y diario para el área de Seguridad.
El proceso anterior ha situado a las diversas líneas de negocio en una posición ventajosa a la hora de asumir el incremento de recursos cuando se ha precisado entrar en el mundo de las comunicaciones públicas y, en definitiva, en Internet, sobre todo al no ser gestores de los elementos por los que circula nuestra información. Por lo tanto, podemos decir que estamos ya en una segunda fase cultural de seguridad dentro de los sistemas de información, a lo que se añade el componente legislativo y de normas voluntarias que, hasta fechas relativamente recientes, no existía (ley de protección de datos (LOPD), normas de la ISO, UNE, etc.). Consecuentemente, nos estamos situando en una cultura más avanzada en la seguridad.
Una vez ubicados en un escenario en el que las políticas, normas y procedimientos han sido definidos y aplicados, queda el reto de la auditoría, consistente en verificar que se cumple todo lo anterior, para lo que el área de seguridad se debe dotar de los mecanismos que faciliten esta tarea de una manera sencilla y, a veces, centralizada, en función del criterio de la compañía.
Anteriormente, se consideraba al área de Seguridad contextualizada en un papel de sheriff o vigilante de los sistemas; sin embargo, actualmente ha pasado a ser un colaborador que asesora y recomienda soluciones que aseguren los procesos de la compañía.
En los últimos tiempos, con la gran tendencia a la reducción de costes, han aparecido dos nuevos fenómenos en la gestión de los sistemas de información que afectan a la seguridad, como son:
- La factoría de software para el desarrollo de aplicaciones, que proporciona mejores ratios económicos y de producción, implica nuevos controles en los proyectos en el momento de la verificación y chequeo de funcionalidades; y
- Los servicios de outsourcing de sistemas de información, incluidas funciones de seguridad, que generan nuevos desempeños de gestión, supervisión, control de procedimientos, auditorías y posibles análisis de las anomalías.
Todo lo anteriormente dicho resume el camino que Repsol YPF ha hecho en los últimos años en relación con el objetivo de debate que esta mesa redonda tiene dentro del programa de Securmática 2004."