ARQUITECTURA DE SEGURIDAD

Gestin de Tecnologa de Informacin

La informacin es el activo intangible mas valioso de una organizacin

INTRODUCCION Una de las principales necesidades que tienen las organizaciones actualmente es la gestin de la seguridad de los Sistemas de Informacin, entendiendo que en este contexto los Sistemas de Informacin no estn limitados al mbito tecnolgico. Para atender estas necesidades muchas organizaciones a nivel mundial (ISO, BS, NIST, IEEE, ITU-T, ITGI), han desarrollado y continan desarrollando estndares, mejores prcticas, metodologas y herramientas que facilitan una gestin eficiente de la seguridad. En la prctica, dichos estndares y mejores prcticas se han convertido en recomendaciones de obligado cumplimiento con implicaciones legales por un lado, y por otro se han convertido en motivo de certificacin que marcan una diferencia a la vista de los clientes. Pero ms all del cumplimiento legal o la obtencin de una certificacin que facilite la actividad comercial, el apego a estndares y mejores prcticas de gestin de la seguridad de la informacin permite a las organizaciones obtener un beneficio bsico: la gestin efectiva y controlada de uno de sus activos fundamentales: la informacin. Este beneficio tiene consecuencias positivas en la eficiencia y eficacia de los procesos de negocio, lo que a su vez se traduce en mayor rentabilidad para la empresa dentro un marco de mejora continua. Qu es una Arquitectura de Seguridad? Tomando como base la evaluacin de riesgos del negocio, un referente estratgico que describe lo siguiente:

La normativa de seguridad que debe regir el comportamiento de la organizacin y cuyo pilar fundamental es la poltica general de seguridad de la informacin

La estructura organizativa de seguridad y los roles/ responsabilidades que las personas deben adoptar en el marco de la seguridad de la informacin

La infraestructura tecnolgica requerida para controlar el registro, proceso, almacenamiento y flujo de la informacin de forma segura

Cul es el propsito de una Arquitectura de Seguridad? Su propsito es describir la normativa, estructura organizativa e infraestructura tecnolgica que faciliten la implantacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI1) para minimizar con efectividad los riesgos a los que est expuesta la informacin en sus tres coordenadas bsicas: integridad, confidencialidad y disponibilidad. A qu tipo de empresa u organizacin le sirve la implantacin de una Arquitectura de Seguridad? A aquellas cuyos directivos responden negativamente a las siguientes preguntas:

Tiene su organizacin, identificadas formalmente las necesidades de seguridad de la informacin?

Dispone su organizacin, de una poltica de seguridad de la informacin autorizada e implantada?

Dispone de una estructura organizativa de seguridad reconocida por todos los empleados y formalmente implantada?

Dispone de un plan de tecnologa que responde coherentemente a las necesidades de seguridad del negocio?

METODOLOGA La metodologa utilizada consta de las siguientes etapas:

Identificacin de las necesidades de seguridad del negocio (BIA2)

Establecimiento de la situacin actual con base en un anlisis de riesgos (RA3)

Definicin de la Arquitectura de Seguridad de referencia

Anlisis de la brecha existente entre la situacin actual y la de referencia, determinar acciones requeridas, recursos y costos

Elaboracin del plan de implantacin de la arquitectura de referencia considerando recursos, prioridades e indicadores de control

1 Definido en la norma ISO 17799, 27001 y BS 7799 2 BIA Business Impact Analysis 3 RA Risk Assessment

ARQUITECTURA DE SEGURIDAD

Gestin de Tecnologa de Informacin

Qu incluye la Arquitectura de Seguridad de referencia?

El desarrollo de la normativa de seguridad (poltica, estndares, procedimientos y guas)

La definicin de la estructura organizativa de seguridad de la informacin y la descripcin de roles y responsabilidades

La descripcin de la infraestructura tecnolgica de seguridad de referencia

Por qu el plan de implantacin de la arquitectura de referencia facilita la implantacin de un Sistema de Gestin de Seguridad de la informacin (SGSI)? Porque el plan basa su desarrollo en el Modelo de proteccin de la informacin (Ilustracin 1), el mismo que est alineado con el estndar ISO-17799 que describe las Mejores prcticas para la Gestin de Seguridad de la Informacin e ISO-27001 que describe especificaciones para un Sistema de Gestin de Seguridad de la Informacin (SGSI). Dicho modelo tiene su centro en la clasificacin de la informacin, la gestin de riesgos y los tres ejes definidos en la arquitectura de seguridad:

Normativa (Poltica de seguridad

institucional) Estructura organizativa (personal

capacitado y consciente) Infraestructura tecnolgica (tecnologa

controlada)

RESUMEN Un Sistema de Gestin de Seguridad de la Informacin (SGSI) funcional y efectivo, requiere la implementacin de numerosos controles que son descritos en las normas ISO 17799/27001. Abarcar la totalidad de controles en un proceso de implantacin inicial es una tarea compleja y costosa, en especial para organizaciones cuyos procesos de seguridad de la informacin son inmaduros o inexistentes. La definicin e implementacin de la Arquitectura de Seguridad de la Informacin que se describe en este documento, est orientada a facilitar la implementacin de un SGSI en organizaciones que se estn iniciando en el proceso formal de aseguramiento de la informacin.

Gestinde riesgos

POLTICA INSTITUCIONAL

TECNOLOGA CONTROLADA

PERSONAL CAPACITADO Y CONSCIENTE

Leyes, regulaciones y reglamentos

del sector

Estndares:- Extenos- Internos

Guas y procedimientos

Servicios de seguridad

Procesos de seguridadasociados

Desarrollo seguro de

aplicaciones

Seguridad fsica y

ambiental

Difusin y capacitacin

Estructura organizacional

(RyR)

Activos de informacin clasificados

Continuidad del negocio