viernes, 6 de febrero de 2009

¿Por qué las organizaciones deben tener una arquitectura de seguridad de la información?

Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio. La gran incógnita es ¿cómo se puede lograr esto? ¿Por donde empezar? ¿Qué se necesita realmente? ¿Cuanto presupuesto se necesita?, ¿Quien es el responsable de implementarlo? la respuesta es difícil y compleja ya que hoy día las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado.

Una respuesta es una solución basada en una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios apoyada en 3 factores críticos de éxito: recursos humanos, procesos de negocio y tecnología, nótese la diferencia entre una arquitectura de seguridad de la información y una Arquitectura de infraestructura de seguridad, donde esta es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización.

En las organizaciones todo cambia con el tiempo: las personas, la tecnología la forma de hacer negocio, los procesos, los volúmenes de información, los riesgos etc., por lo tanto las necesidades y requerimientos de seguridad también cambian, por lo que hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, es por eso que es fundamental contar con una arquitectura de seguridad la cual su objetivo principal es el tener una base en la que los nuevos riesgos generados por cualquier tipo de cambio se incluyan en la arquitectura de seguridad y estén alineados bajo este marco, de forma que este proceso sea lo mas transparente y sencillo para la organización.

Algunas de las etapas que se deben considerar en una arquitectura son:
• Análisis de Vulnerabilidades y Evaluación de Controles
• Corrección de Vulnerabilidades
• Desarrollo de Políticas, Estándares, Guías, Procedimientos y Baselines
• Creación de la Función Informática
• Análisis y Evaluación de Riesgos
• Estrategia de Seguridad
• Programa de Concientización
• Adquisición, Desarrollo e Instalación y Puesta a punto de herramientas
• Monitoreo, Auditoria y Computo Forense.


Las instituciones y organizaciones al contar con una Arquitectura de Seguridad de la Información diseñada a su medida y basada en sus propios riesgos tecnológicos que impactan directamente a sus procesos de negocio o funcionales, le permitirá conocer el difícil, complejo y misterioso punto de equilibrio, entre el riesgo, el costo y la seguridad que necesita ser implantada, sin que estas medidas afecten la capacidad de operación y de servicio de la organización además de las ventajas competitivas que nos brinda la tecnología.
El tener una arquitectura de seguridad también garantizara que se tendrán todos los elementos necesarios para una adecuada administración de riesgos tecnológicos (Tolerar, Transferir, Mitigar o en algunos casos Evitar) y se podrá ser preciso en la identificación e implementación de los controles y mecanismos de seguridad que realmente requiere la organización y así evitar inversiones cuantiosas e innecesarias.

Las organizaciones que tengan la convicción real y la visión lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la información y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización y en caso de que este tipo de intentos llegasen a materializarse estar seguros de que no impactaran de manera significativa, recordemos que no hay ningún mecanismo 100% seguro y que en algún momento las organizaciones siempre se enfrentaran con un incidente de seguridad, la diferencia versara en que ese incidente no afectara la capacidad de operación, servicio y en algunos casos la supervivencia de las organizaciones.

Como resultado de lo anterior también cualquier organización que siga este modelo será capaz de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materialización de los riesgos tecnológicos, a su vez se estará preparado para recibir y aprobar cualquier tipo de auditoria o revisión en materia de seguridad de la información y obtener cualquier tipo de certificación internacional y finalmente, lo más importante la Alta Dirección tendrá la tranquilidad de que la organización o institución se encontrara operando de manera segura y confiable.

Adrián Palma
Visto en bsecure.com.mx

2 comentarios:

Andres De Vivanco dijo...

Adrián, me parece excelente tu post. Es necesario implementar una arquitectura de seguridad de información/software en toda organización que se preocupe en evitar exponer vulnerabilidades y ser atacada.

El reto es encontrar a algún arquitecto de seguridad con el conocimiento requerido para realizar esta tarea. Me parecería adecuado instruirse en arquitectura de seguridad como requerimiento dentro de la rama de ingeniería de seguridad de software/información. El problema es encontrar los recursos necesarios para dicho aprendizaje.

-AD

Andres De Vivanco dijo...

Adrián, me parece excelente tu post. Es necesario implementar una arquitectura de seguridad de información/software en toda organización que se preocupe en evitar exponer vulnerabilidades y ser atacada.

El reto es encontrar a algún arquitecto de seguridad con el conocimiento requerido para realizar esta tarea. Me parecería adecuado instruirse en arquitectura de seguridad como requerimiento dentro de la rama de ingeniería de seguridad de software/información. El problema es encontrar los recursos necesarios para dicho aprendizaje.

-AD