Interrelaciones del departamento de Seguridad Informática con las direcciones de Proyectos TIC | ||||||
|
||||||
De izquierda a derecha: José Luis Arribas (Citibank), Jaime de Pereda (Grupo Auna) y Juan Carlos Yustas (Repsol YPF) |
||||||
De
una buena política corporativa de seguridad de la información
debe desprenderse la necesidad de implantar un proceso que permita intervenir
a los profesionales de la seguridad TIC de una entidad en los ciclos de
diseño, despliegue, mantenimiento y revisión de las aplicaciones
y los servicios soportados por su sistema de información tecnológico.
La existencia de dicho proceso es uno de los factores de buen gobierno que
mejor definen la cultura de seguridad en una empresa y el alineamiento de
la misma con su negocio o actividad. Con este propósito, la revista
SIC reunió durante Securmática 2004 a tres profesionales de
la seguridad -Jaime de Pereda (Grupo Auna), José Luis Arribas (Citibank)
y Juan Carlos Yustas (Repsol YPF)-, para debatir un asunto, sin duda estratégico
y que está a la orden del día en cualquier organización
moderna que se precie. |
||||||
Con
objeto de que la representatividad en la mesa redonda fuera lo más
variada posible, SIC convocó a expertos de diferentes sectores -como
son el mundo de las operadoras de comunicaciones, de las entidades financieras
y de los servicios - para que sus representantes enriquecieran el tema con
las casuísticas propias de sus organizaciones. Como era de esperar,
los intervinientes aportaron interesantes reflexiones al respecto, muy a
menudo, complementarias. A continuación se reproducen sus contribuciones
iniciales al debate, las cuales, lógicamente, fueron ampliadas durante
la celebración de la mesa redonda y subsiguiente coloquio con la
audiencia del congreso. |
||||||
|
||||||
"El
Departamento de Seguridad y Comunicaciones de Sistemas de Información
del Grupo Auna está integrado dentro del área de Operaciones.
El proceso de seguridad está sufriendo profundos cambios debido
a: - La integración de los sistemas de información de las diferentes empresas del grupo (la forma de enfocar la seguridad en cada empresa era diferente y, además, no se ha escogido una de ellas, sino que se está intentando integrar las mejores prácticas de cada empresa). - El proyecto de externalización de la explotación. El modelo de interrelación con Explotación o Producción es muy diferente al de cada antigua empresa del grupo y al que se aplicaba el año pasado. Las interrelaciones del departamento de Seguridad con las direcciones de proyectos TIC vienen marcadas por las siguientes líneas: - Establecimiento de un Plan tecnológico de Seguridad. Este Plan se traduce en proyectos y acciones que involucran en muchas ocasiones departamentos diferentes al de Seguridad. La involucración de los otros departamentos puede ser como participantes, o incluso como líderes de estos proyectos. En el caso de los proyectos en los que interviene el outsourcer, la relación exige mucha más planificación, formalización y documentación que en la etapa anterior. - Creación de un marco normativo de seguridad de múltiples aspectos, incluyendo el ciclo de vida de sistemas y aplicaciones. De este modo los departamentos de Ingeniería y Desarrollo de Aplicaciones disponen de pautas de seguridad a aplicar en todas las fases del ciclo de vida de cualquier sistema. |
||||||
"El
que normalmente los departamentos de desarrollo de aplicaciones estén
mucho más cercanos al negocio que el de Seguridad, conlleva la
necesidad de escuchar los requisitos planteados por estos departamentos
para encontrar la solución que mejor satisfaga todas las necesidades" |
||||||
Por
otro lado, se pretende que las normas se traduzcan en procedimientos específicos
o en partes de los mismos, de modo que formen parte de las tareas de operación
normal y no requieran acciones de seguridad específicas ejecutadas
por personal específico.
"El
Modelo de Organización de Seguridad de la Información establecido
en Citibank, como parte de Citigroup (entidad financiera establecida en
más de 100 países), ya fue desarrollado en 1995, donde la
Seguridad es parte integrante del comité de Dirección, tanto
a nivel global como de los consejos directivos de cada país, reflejado
con la existencia de una estructura de Information Security Services
(ISS), la cual abarca tanto la parte de definición de políticas
y estándares, seguridad en la infraestructura, diseño y
construcción, siendo una faceta primordial la formación
y concienciación, como las relaciones con las diferentes organizaciones
internacionales de seguridad y grupos centrales de Respuesta a Incidentes
|
||||||
"En
el Modelo de Organización de Seguridad de la Informacion establecido
en Citibank, como parte de Citigroup, la seguridad es parte integrante
del comité de Dirección, tanto a nivel global como de los
consejos directivos de cada país" |
||||||
La
utilización de servicios de outsurcing no queda al margen
de la seguridad; estos servicios son evaluados, no sólo por las ventajas
competitivas en materia de costes, sino que también son tenidos en
cuenta todos los aspectos de seguridad, mediante la adecuada evaluación
de las políticas de Seguridad y Continuidad de Negocio, previa a
la selección de proveedores, de forma similar a la aplicada internamente. Esta organización se completa con la existencia de un servicio de alerta ante incidentes -de procedencia interna y externa-, activado cuando se produce o detecta un posible incidente que pueda afectar a la seguridad de la información, para evaluarlo adecuadamente, escalarlo si procede, así como colaborar con otros grupos o negocios de la corporación, entidades locales o de la administración para su resolución. El modelo de seguridad no olvida la continuidad del negocio y, por tanto, los diferentes elementos necesarios en caso de incidente o catástrofe han de ser igualmente contemplados durante el diseño del proyecto. Mediante este modelo, en Citibank/ Citigroup intentamos mantener nuestros procesos y servicios en el más alto nivel de seguridad, en cualquier nuevo producto desarrollado, con una interrelación permanente entre las áreas de Negocio y la Dirección de Proyectos de TI, con una evaluación constante de la seguridad en prevención de todo tipo de ataques o intentos de intrusiones, ya que como primera entidad financiera mundial estamos en el punto de mira de todo tipo de hackers o intrusos, así como de cualquier otro error o amenaza, tanto externa como interna".
La seguridad informática de cualquier empresa tiene que estar basada en una serie de documentos que reflejen las buenas prácticas, políticas, normas y procedimientos que fijen cómo realizar los procesos para proteger los activos del negocio. En Repsol YPF empezamos a trabajar en el desarrollo de esta política, normas y procedimientos hace más de seis años, basándonos en la normativa inglesa de la BS. En aquellas fechas, realizar una política dentro de una dirección de Sistemas de Información era una novedad que se entendió como un proceso lento que daría sus frutos posteriormente con una mayor concienciación en la compañía. Los comienzos para introducir una política conllevan mover cimientos dentro de la empresa, como fueron la seguridad corporativa, auditoría, recursos humanos, servicios jurídicos, etc., que necesitaron una larga temporada hasta que comprendieron, adoptaron y asumieron los inicios de esta nueva cultura de la seguridad informática en la compañía. Después de varios años, este concepto está considerado como un elemento propio de los sistemas de información. Tras esta fase, hemos ido adaptando, modificándola y traspasándola de la BS a la ISO 17799, estando ya en un proceso final de consolidación de esta política. La creación de políticas y el desarrollo de normas y procedimientos es un reto complicado en las empresas multinacionales debido a su magnitud, diversidad de culturas y legislaciones, múltiples procesos, complejos sistemas de CRM, tareas de unificación de criterios, grandes y variadas áreas de desarrollo que requieren un esfuerzo continuo y diario para el área de Seguridad. |
||||||
"El
área de seguridad informática ha pasado de ser un vigilante
de los sistemas, a convertirse en un colaborador que asesora y recomienda
soluciones para asegurar los procesos de Repsol YPF" |
||||||
El
desarrollo de esta política ha llevado a una evolución del
diseño de los proyectos dentro de Repsol YPF que, por ejemplo, implica
que al considerar la implantación de nuevos sistemas hay que estimar
los componentes de seguridad física y lógica asociados, inclusive
en la parte de desarrollos; además de la clasificación de
la información, gestión inicial de riesgos, nivel de seguridad
necesario, protección de datos, etc. Todo lo cual se tradujo en unas
dificultades iniciales con múltiples áreas que, con el paso
del tiempo y la constancia del área de Seguridad, se han convertido
en un diálogo habitual comprendido por todas las áreas de
negocio, lo que permite obtener una justificación más detallada
del incremento de costes de la seguridad, tanto a nivel económico
como de consumo de recursos. El proceso anterior ha situado a las diversas líneas de negocio en una posición ventajosa a la hora de asumir el incremento de recursos cuando se ha precisado entrar en el mundo de las comunicaciones públicas y, en definitiva, en Internet, sobre todo al no ser gestores de los elementos por los que circula nuestra información. Por lo tanto, podemos decir que estamos ya en una segunda fase cultural de seguridad dentro de los sistemas de información, a lo que se añade el componente legislativo y de normas voluntarias que, hasta fechas relativamente recientes, no existía (ley de protección de datos (LOPD), normas de la ISO, UNE, etc.). Consecuentemente, nos estamos situando en una cultura más avanzada en la seguridad. Una vez ubicados en un escenario en el que las políticas, normas y procedimientos han sido definidos y aplicados, queda el reto de la auditoría, consistente en verificar que se cumple todo lo anterior, para lo que el área de seguridad se debe dotar de los mecanismos que faciliten esta tarea de una manera sencilla y, a veces, centralizada, en función del criterio de la compañía. Anteriormente, se consideraba al área de Seguridad contextualizada en un papel de sheriff o vigilante de los sistemas; sin embargo, actualmente ha pasado a ser un colaborador que asesora y recomienda soluciones que aseguren los procesos de la compañía. En los últimos tiempos, con la gran tendencia a la reducción de costes, han aparecido dos nuevos fenómenos en la gestión de los sistemas de información que afectan a la seguridad, como son: - La factoría de software para el desarrollo de aplicaciones, que proporciona mejores ratios económicos y de producción, implica nuevos controles en los proyectos en el momento de la verificación y chequeo de funcionalidades; y - Los servicios de outsourcing de sistemas de información, incluidas funciones de seguridad, que generan nuevos desempeños de gestión, supervisión, control de procedimientos, auditorías y posibles análisis de las anomalías. Todo lo anteriormente dicho resume el camino que Repsol YPF ha hecho en los últimos años en relación con el objetivo de debate que esta mesa redonda tiene dentro del programa de Securmática 2004." |
||||||