PDF de programación - Gestión estratégica de seguridad en la empresa

Gestión Estratégica
de Seguridad en la Empresa

@anetcom

Edita:
Anetcom

Creación de contenidos:
GMV
Javier Megias Terol
Javier Osuna García Malo de Molina
Roberto López Navarro
Antonio Cabañas Adame
Nathalie Dahan García
Mariano J. Benito Gómez
Luis Miguel Simoni Granada

Coordinación:
Javier Megias Terol
Olga Ramírez Sánchez

Colaboración:
José Luis Colvée

Revisión:
Inmaculada Elum
Carolina Izquierdo

Diseño editorial:
Filmac Centre S.L.

Imagen de portada, maquetación y composición:
Integral Comunicación

Impresión:
Gráficas Marí Montañana

Depósito legal:
V-973-2008

Índice

Prólogo

1. Introducción

1.1. Panorama actual y desafíos para la empresa en seguridad
1.2. Seguridad y estrategia: una introducción
práctica al buen Gobierno Corporativo TI

2. Planificación de la seguridad

2.1. Estableciendo los cimientos de la estrategia:

la política de seguridad y la organización

2.2. Gestión del riesgo: ¿cuánto cuesta la seguridad?
2.2.1. Identificación de activos: el corazón del negocio
2.2.2. Amenazas de seguridad y vulnerabilidades
2.2.3. El riesgo como factor de la seguridad
2.2.4. Algunas realidades en la Gestión del Riesgo

2.3. Abordando de forma práctica la planificación de la seguridad

en la empresa: el plan director de seguridad

2.4. La seguridad en las TIC: requisitos básicos

2.4.1. La seguridad lógica
2.4.2. Componentes de la defensa en profundidad
2.4.3. Seguridad en el perímetro

2.5. Gestión de la continuidad y recuperación de desastres

2.5.1. Entendimiento del negocio
2.5.2. Definición de la estrategia de respaldo y continuidad
2.5.3. Desarrollo del plan de continuidad
2.5.4. Mantenimiento del plan

2.6. Cumplimiento legal: LOPD, LSSI y otras regulaciones
2.7. Gestión de las auditorías, o cómo evaluar la realidad
2.8. Cuadros de mando, métricas e indicadores: midiendo la seguridad
2.9. Buenas prácticas de externalización de seguridad

7

11
15

18

25

25
29
32
34
36
38

42
49
50
54
55
65
69
71
72
73
73
79
83
88

3. Marcos de referencia para la Gestión Estratégica de la Seguridad

3.1. Sistemas de Gestión de Seguridad (SGSI): ISO 27001 e ISO 17799
3.2. Gobierno Corporativo y Seguridad: COBIT
3.3. Gestión de Servicios TI: ITIL/ISO 20000

4. Referencias

5. Bibliografía

93
94
101
104

109

111

Prólogo

La Seguridad de los Sistemas de Información es actualmente una de las principa-
les preocupaciones de los ciudadanos, empresas y profesionales de todo el mun-
do. La confianza en los servicios telemáticos, elemento clave para el desarrollo de
una Sociedad de la Información sana está en entredicho.

En los últimos tiempos proliferan las amenazas, que van desde los virus informáti-
cos hasta el “ciberterrorismo”, pasando por la usurpación de identidades banca-
rias o el robo de información confidencial. Resulta demoledor el efecto producido
por estos peligros, en usuarios y ciudadanos en general, por lo que respecta a la
percepción de la seguridad en medios telemáticos.

Conscientes de esta preocupación, desde instituciones como la Generalitat Valen-
ciana hemos promovido iniciativas que garanticen la Seguridad de la Información.
De este modo, desde el Gobierno Valenciano y en concreto desde la Conselleria
de Justicia y Administraciones Públicas hemos impulsado el Centro de Seguridad
TIC de la Comunidad Valenciana (CSIRT-CV), un proyecto que se enmarca en el
Plan Estratégico de Telecomunicaciones Avanzadas (AVANTIC) y que ha sido
recientemente inaugurado. El CSIRT-CV se creó para prevenir incidentes, en mate-
ria de seguridad informática, así como para establecer las medidas más adecuadas
para detectar, estudiar y evitar las amenazas.

No obstante, existen todavía empresas que carecen de orientación sobre los ajus-
tes que deben realizar en su negocio para proteger adecuadamente sus sistemas
de información o que desconocen la existencia de los mismos. En este sentido,
debemos insistir en el conocimiento, difusión e implantación de cuantos medios
sean necesarios para garantizar la seguridad informática del tejido empresarial.

Sobre los contenidos de esta interesante y necesaria publicación, de la editorial de
Anetcom, que han sido redactados por expertos en seguridad de los sistemas de

7

información de GMV, a los que desde aquí felicito por el resultado de este
manual, tengo que señalar que el libro recoge una serie de buenas prácticas,
planteamientos y herramientas útiles sobre esta materia para empresarios y
directores de informática.

El objetivo de estas propuestas no es otro que el de ayudar a los directivos de
las empresas a orientar, desde un punto de vista estratégico, la gestión en mate-
ria de Seguridad de la Información. Este nuevo enfoque permite, tal y como
señalan los técnicos, planificar con antelación la protección de la empresa,
entender las consecuencias y el coste económico de cada decisión y, sobre
todo, poder afrontar las inversiones de forma comprensible y justificada.

En este sentido, la publicación abarca un planteamiento que va más allá de la
tecnología y que no se centra, únicamente, en el plano técnico –como se había
considerado hasta ahora– sino también desde la gestión, analizando el conjun-
to de la empresa.

De este modo, el planteamiento buscado por Anetcom y los autores del libro
abarca la temática aquí analizada desde una perspectiva más allá de la tecno-
logía y del proceso, ampliando el análisis a otros aspectos como la cultura
empresarial y profesional. De nuevo Anetcom acerca estos conceptos a la rea-
lidad empresarial y éste es el mensaje de cercanía que queremos transmitir
desde el Gobierno Valenciano.

Fernando de Rosa
Conseller de Justicia y Administraciones Públicas

8

Introducción

Definitivamente era muy extraño. Eran las nueve de la noche del

jueves, y reflexionando acerca de lo sucedido esa tarde, Juan se sentía cada
vez más intranquilo. El presidente de su empresa, el señor Llopis, lo había
convocado a una reunión sorpresa para las diez de la mañana del día
siguiente. Aún recordaba mentalmente la escueta nota dejada sobre una
esquina de su abarrotada mesa: “Juan, necesito una explicación de por qué
hemos gastado miles de euros durante este año en seguridad informática, y
aún así solicitas un incremento del presupuesto para el próximo año”.

Desde que asumió hace algunos años la dirección de informática de la
empresa, Juan creía haber hecho un buen trabajo modernizando los siste-
mas de la compañía y, aunque había gastado grandes sumas, nunca se
había visto en esta situación. ¿A qué se debía que el señor Llopis quisiera
hablar justo entonces de esa partida presupuestaria? No era en absoluto de
las más grandes que había solicitado, y tampoco recordaba haber tenido
ninguna infección de virus ese año… Eso sí, por si acaso y en previsión de
posibles nuevos problemas, había pedido un aumento del 15%, completa-
mente razonable.

Resignado, abrió un documento y comenzó a desglosar metódicamente el
presupuesto que había gastado durante el año. Tras media hora, una crecien-
te sensación de pánico se fue apoderando de Juan: la conciencia de que todo
lo que había invertido ese año había sido consecuencia de una respuesta
urgente a un problema (el antispam en enero, la actualización del antivirus
en marzo...), o de actuaciones a las que les había obligado la dichosa Ley de
Protección de Datos se fue abriendo camino... y se dio cuenta que apenas
había podido planificar nada. ¿Qué le dirá Juan al señor Llopis cuando le pre-
gunte por la estrategia adoptada para la inversión en seguridad?

11

A las organizaciones que operan en esta época sin duda les ha sido dado vivir
tiempos interesantes. Cada vez más, los procesos de negocio crecen en com-
plejidad, y a la vez aumenta la dependencia de los mismos hacia la tecnolo-
gía (más marcada si cabe en ciertos sectores). Por contraposición, las mismas
organizaciones se enfrentan a un crecimiento paulatino de exigencias, tanto
en el plano regulatorio como en de la eficiencia (costes y tiempo). Esta situa-
ción nada halagüeña se ve empeorada por multitud de amenazas hacia los
activos que soportan dichos procesos. Pero, a pesar de que históricamente
diversos actores asociados al mercado de la Seguridad de la Información han
basado sus preceptos comerciales en el miedo, cada vez resulta más patente
lo caduco de este planteamiento.

En esta situación, hoy en día no son pocas las organizaciones que adolecen
de una visión y conciencia clara de la importancia de que sus servicios y pro-
cesos, cimentados en la tecnología o no, se relacionen y operen de forma
segura. Aun así, existen dificultades para engarzar esta visión con unas dota-
ciones presupuestarias apropiadas, o dicho de otra forma, para interpretar y
poder razonar apropiadamente los gastos (o, mejor inversiones) que inevita-
blemente se producirán.

En primer lugar, es primordial abandonar la visión reduccionista y entender
que la Seguridad de la Información abarca varias áreas convergentes pero
con foco común. En numerosas ocasiones su ámbito excede a la tecnología,
e incluye otros enfoques asociados a la estructura organizativa de la empresa,
al cumplimiento de las regulaciones (sectoriales o globales) o incluso a la for-
ma en que los procesos de negocio operan. Es fundamental pues adoptar una
visión holística e integrada de la Seguridad de la Información para poder ofre-
cer una respuesta completa, eficiente y conmensurada a las necesidades de
protección y seguridad de la organización.

El corazón de este enfoque no debe ser sólo la tecnología, tal como se ha
venido planteando hasta ahora (servidores, software u otros activos). El ele-
mento esencial que permite que la empresa prospere y que representa su
principal capital es la información, y alrededor de ella es donde se debe
construir la seguridad.

12

Ilustración 1.- Seguridad de la Información: un enfoque global.

En este punto nace la intuición de que el enfoque correcto no puede situarse
en un plano puramente operativo o táctico: tiene implicaciones demasiado
relevantes en el