02.

ROLES en SI
Un aspecto importante en el mundo de la seguridad de la informacin es identificar qu papel juegan los distintos actores que de una manera u otra participan en la definicin, puesta en marcha y control de todos los sistemas de informacin o de comunicacin a los que se les quiere dotar de Seguridad y proteccin. Los clasificaremos en dos bloques; el que cataloga al personal profesional y el que se refiere a las infraestructuras habituales para la seguridad y la proteccin de los datos.

02.01. En el Personal profesional. Quien es Quin. 02.01.01. CEO (Chief Executive Officer). En la actual globalizacin mundial convivimos a caballo entre la terminologa anglosajona y nuestra terminologa europea. Es por ello que empleemos en este trabajo siglas utilizadas a diario y que ya han sido importadas, como es el caso del CEO, cuya equivalencia europea podra ser la de Consejero Delegado, reportando directamente al Presidente de la compaa. Bien es cierto que es habitual encontrar que ambos puestos estn ocupados por la misma persona, tomando las decisiones ms importantes de la empresa y a la que los dems ejecutivos reportan. En definitiva el CEO es la persona con ms alta responsabilidad ejecutiva de una organizacin y a la que le corresponde entre otras, la tarea de la Planificacin estratgica y dotacin presupuestaria. Sin duda que los proyectos en materia de Seguridad de la Informacin y proteccin de datos deben emanar directamente del CEO, como estrategia base que rodea al resto de su negocio. Con arreglo al grado de importancia que ste dicte, as se acometern los

distintos subproyectos en la materia, prestando as quizs ms atencin al cumplimiento normativo que a la seguridad de accesos o la de recuperacin de la informacin. Pero no nos engaemos, la inversin en Seguridad de la Informacin acaba siendo un cociente entre las prdidas evitadas (valoradas en ) y los costes en Seguridad invertidos (valorado en ), con lo que no deja de ser una decisin tambin presupuestaria dirigida a minimizar Riesgos. Como veremos sern otros ejecutivos los que transformen estos gastos en Seguridad para la organizacin.

02.01.02. CIO (Chief Information Officer). Pasando del trmino anglosajn al europeo, el CIO podra traducirse como el Director de Sistemas de Informacin, si bien a veces coincide con el puesto de Director de Informtica o Director de Sistemas. Un director de sistemas de informacin (tambin llamado DSI) tiene capacidades tcnicas y de planificacin. En definitiva tratar de alinear los sistemas de informacin con las estrategias de la compaa, administrando el presupuesto y coordinando a los equipos tcnicos. Es por ello que entre otras, tiene encomendada la Planificacin tctica relacionada con las TIC (Tecnologas de la Informacin y de la Comunicacin), que pasa por la adecuacin de cualquier sistema de informacin requerido para la organizacin (en entornos transaccionales como pueden ser los ERP -Sistema de planificacin de Recursos-, o en entornos decisionales como son los DSS Sistemas de Soporte a Decisiones) En definitiva, el CIO ha evolucionado desde simplemente asegurar que toda la plataforma tecnolgica estuviera preparada para dar soporte a las operaciones de la empresa, al desarrollo de la estrategia de negocio y a un papel fundamental como impulsores de la innovacin en las empresas.

02.01.03. CISO Chief Information Security Officer (o CRO). Es el Responsable de Seguridad de la Informacin y se encarga de proporcionar a la direccin ejecutiva la orientacin en el tema de la seguridad tanto lgica como fsica, en el terreno de las TI y de gestionar sus riesgos. Habitualmente reporta al CIO. Entre sus funciones estn: - Comunicacin y Relaciones. Es responsable de crear conciencia de la seguridad de la informacin entre el personal de la organizacin. -.Evaluacin de Riesgos de los activos de informacin de la organizacin. Realizar recomendaciones en funcin del valor de los activos, las amenazas, las vulnerabilidades y los costos. - Gestin de las amenazas y vulnerabilidades. Evala peridicamente la vulnerabilidad de los activos de la organizacin y analiza los logs o fallas detectadas en los distintos sistemas, para iniciar as medidas preventivas. No slo los detecta a travs de procesos de reporting automticos basados en la parametrizacin de alarmas en herramientas de Cuadro de Mandos, sino concienciando al personal a fin de que los mismos reporten las incidencias de seguridad. Por supuesto, el personal tiene que poder ver el beneficio de este tipo de reportes ya que si no, solo se sentirn controlados y podran tender a saltarse los controles instituidos. - Gestin de Identidad y Acceso. Asegurar que existen procesos para la creacin, modificacin y supresin de los privilegios de acceso de los usuarios. Adecuacin de los privilegios de acceso a las necesidades de acceso a la informacin. - Seguridad fsica de los centros de Procesos de Datos (CPDs): control de alarmas de incendio o robo, guardias de seguridad, cmaras, dado que no solo es a travs de actividades lgicas que se puede comprometer la seguridad. Para ello podr contar con herramientas que le permita en todo momento conocer el estado de las distintas dependencias de la organizacin al tiempo que podr dirigir las actividades y recursos fsicos de seguridad para salvaguardar todos los puntos sensibles de una organizacin. - Activar los Planes de Continudad de Negocio (Disaster Recovery). - Anlisis de normativas y regulaciones. - Definicin de normativas internas.

02.01.04. CSO Chief Security Officer. Es el Responsible de Seguridad Corporativa, encargada de velar por la armonizacin de la seguridad de la informacin en sus diferentes vertientes: proteccin fsica, proteccin de los servicios y respeto de la privacidad. De existir la figura del CSO en las organizaciones, ocurre entonces que las labores del CISO en cuanto a la seguridad fsica, la gestin de riesgos y la continuidad de las operaciones, son descargadas en pro del CSO.

02.01.05. CTO Chief Technology Officer. Proporciona a la organizacin el liderazgo en el rea de tecnologa. El CTO o Director de Tecnologa, es una posicin ejecutiva en el que la persona que lo ostenta se concentra en asuntos tcnicos y cientficos dentro de una organizacin. Es lder de un grupo tcnico que particularmente construyen productos o crean servicios que dan cuerpo a tecnologas especficas de la industria. En alguna medida el CTO maneja el trabajo de I+D investigacin y desarrollo en las organizaciones. Reportando al CIO, el CTO a menudo maneja los detalles ms tcnicos de los productos de tecnologa de la informacin y su implementacin, desde el departamento tecnolgico de la organizacin, responsable de prever tendencias tecnolgicas y ms importante an, de desarrollar la visin tecnolgica para los negocios.

02.01.06. Expertos, Especialitas y Profesionales en SI. algo. Se asocia generalmente a un perito.

[JEI08]

Un experto es alguien experimentado en algo, alguien que ha probado o tratado con

Un especialista, es alguien que practica una rama determinada de una ciencia, de la que tiene particulares conocimientos y habilidades.

Un profesional, es una persona que ejerce su profesin con relevante capacidad y aplicacin. Se puede sugerir que los que se dedican a la seguridad de la informacin, responden a un proceso evolutivo tras explorar su propia curiosidad con eventos que desafan lo establecido, generando nuevas inquietudes que ayudan a continuar aprendiendo. Un experto en seguridad informtica es alguien que se ha enfrentado a la inseguridad de la informacin y a la incertidumbre que genera la falla, a la presin para tomar acciones que ponen a prueba su experiencia y conocimientos previos en situaciones semejantes (nunca iguales). Las acciones acertadas o no, son su capital para cuando nuevamente sea sorprendido por un nuevo episodio de la inseguridad informtica. Con el paso del tiempo este experto, desarrolla un instinto sobre la seguridad, transformndose en un especialista en seguridad de la informacin. El enfrentamiento constante con la inseguridad y la falla, genera en esta persona una mente ms abierta y sistemtica. El especialista estructura una red de conocimientos que proponen soluciones y tambin alternativas a las que pudiesen ofrecer lo que dicen las buenas prcticas que han demostrado ser tiles en el tiempo. Finalmente el profesional en seguridad informtica, sera una persona que ejerce una profesin, estructurada en materias que son avaladas y normadas por entidades reguladoras, acadmicas o de Certificacin.

02.01.07. Consultores y Asesores en SI. Los Consultores en SI son expertos en esta materia y sobre la que son convocados para sugerir, aconsejar o asesorar profesionalmente.

Las tareas conceptuales ms importantes que definen a un Consultor en SI son: - Aportar nuevas ideas. Las empresas se encuentran inmersas en sus conflictos cotidianos y no hallan el camino claramente. El hallarse del lado de afuera permite reconocer cual es el problema real y con ello aconsejar, recomendar, sugerir la forma de resolverlo. - Elevar la Eficiencia: Su efectividad en la resolucin del problema configura un mayor crdito para dicho consultor. Toda empresa busca la eficiencia para no perder su competitividad. Es importante no aconsejar hasta que el problema est completamente interiorizado y analizado, puesto que las recomendaciones del primer momento en materia de SI raramente resultan efectivas, al no tener analizado todo el entorno. - Diagnosticar el Problema: Es el punto principal de la actividad del Consultor y donde radica toda su habilidad y su capacidad. El definir el problema no es otra cosa que determinar las causas que lo provocaron, sin confundirlo con los sntomas. - Hallar la Solucin: tras haber determinado las causas del problema; el otro punto fundamental, es saber disear la solucin. para entornos de Seguridad de la Informacin, con una estructura clara y lgica, con un estilo profesional que convenga los planes de contingencias, las polticas y la metodologa para lograr los objetivos esperados. Y todo ello, cumpliendo siempre con las normas y legalidad vigente.

02.01.08. Auditores y Analistas en SI. Los auditores en Seguridad de la Informacin realizan el anlisis y gestin de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva tanto de redes, como de servidores como de estaciones de trabajo.

Utilizando herramientas de evaluacin, los auditores dan a conocer en sus trabajos cul es la situacin exacta de los activos de informacin en cuanto a proteccin, control, medidas de seguridad. y qu pasos debe seguir para mitigar los riesgos.

02.01.09. Peritos y Forenses en SI. La red deja rastros e Internet no es annimo. Es el principio al que no atienden las personas que utilizan Internet o la informtica corporativa para acciones ilcitas como publicar fotos de personas sin su consentimiento, agresiones o apropiarse de informacin corporativa con la que luego comenten delitos contra la de la propiedad, chantajes o estafas online. La investigacin forense es la aplicacin de mtodos y tcnicas para obtener, analizar y preservar, evidencia digital susceptible de ser eliminada o sufrir alteraciones. Esto permite reunir pruebas para adelantar una accin penal. Especialistas en rastrear las huellas digitales que se dejan al navegar o al usar un equipo informtico, ayudados por Abogados expertos en delitos informticos, son los perfiles de profesionales que tienen entre otras, las siguientes actividades: rastreo y traza de informacin sobre actividades llevadas a cabo en internet, chats, e-mails. Averiguar con qu programa se ha elaborado un archivo. bsqueda de palabras clave, nmeros de tarjetas de crdito, telfonos, que pueda ser utilizada en juicios o investigaciones privadas. Bsqueda de programas instalados (analisis de hashes) Anlisis de archivos protegidos con contrasea

Y todo ello porque la prueba del delito no es suficiente: hay que ir a por el autor.

02.01.10. Legisladores en materia de SI. En definitiva se trata del poder legislativo de cada pas. Su apoyo es esencial para aumentar la concienciacin sobre los riesgos y para asegurar que las leyes penales continen siendo eficaces a la hora de ocuparse de las personas que cometen delitos en la Red. Adems, las normas legislativas como la LOPD (ley orgnica de proteccin de datos), la facturacin electrnica o del comercio electrnico, impulsan la inversin en seguridad de la informacin en las empresas.

02.01.11. Responsable de Compliance. Traducido, es el Responsable de Cumplimiento Normativo, puesto que tiene sus orgenes en el mbito de las compaas financieras anglosajonas, aunque cada vez se ha extendido ms a otras empresas ajenas al mundo de las finanzas. En definitiva actan como los guardianes de la ley controlando que su empresa cumpla con la normativa nacional o internacional vigente, puesto que hoy se est inmerso en una proliferacin de normas que impulsan la seguridad de la informacin En el contexto que nos ocupa, un responsable de Compliance en Seguridad de la informacin se ocupa de: - implementar los procedimientos de trabajo que aseguren el cumplimiento normativo interno y externo. - Establecer los estudios y las auditoras pertinentes para apoyar a los diferentes departamentos en la implantacin correcta de las normas y de su mejora continua. - Mantener contacto habitual con sus homlogos en diferentes pases, para homogeneizar e incorporar las mejorar oportunas a los procedimientos.

02.02. En Infraestructuras: Qu es Qu. 02.02.01. Centros de Respaldo. [WIKres]

Un Centro de respaldo es un Centro de Proceso de Datos (CPD) especficamente diseado para tomar el control de otro CPD principal en caso de contingencia como terremotos, incendios, atentados, etc. De esta forma se garantiza la continuidad del negocio y la seguridad de la informacin en caso de emergencia. El diseo de un centro de respaldo se realiza teniendo en cuenta aspectos como el lugar fsico dnde instalarlo, el equipamiento Hardware y software, los datos y su sincronismo recuperacin. De todo ello se expondr con ms detalle en al apartado que cataloga la Seguridad de Informacin en las Salas CPDs. No obstante cabe citar que para todas las infraestructuras antes mencionadas para disponer de un centro de respaldo, existe la posibilidad de no asumirlas como propias y por tanto es posible realizar el Outsourcing de estos servicios a proveedores especializados. y los Planes de Contingencias, de respaldo, de emergencia y de

02.02.02. Centros I+D+i. Son los proveedores en Seguridad informtica quienes apuestan por crear infraestructuras de ingeniera para la Investigacin, el Desarrollo y la innovacin, con el objetivo de lanzar nuevos productos y nuevos servicios que satisfagan las crecientes necesidades que en materia de proteccin y seguridad digital, demanda cada vez ms el mercado. Las actividades habituales se sitan entorno al desarrollo sobre normativas y procedimientos, evaluacin y desarrollo de nuevas tecnologas, soluciones de seguridad en materia de proteccin de plataformas

02.02.03. Centros de Operaciones de Seguridad (COS SOC ). Algunas organizaciones carecen de personal especializado en seguridad informtica y no disponen de infraestructura suficiente para auto-controlar los posibles ataques y prevenir incidentes de seguridad. Es entonces que deciden delegarlo o externalizarlo en proveedores especializados que a travs de sus SOC (Security Operations Center) ponen a su disposicin las infraestructuras materiales y humanas necesarias. Los SOC son salas que poseen estos proveedores de servicios de seguridad, que funcionan 24x7h y tienen como objetivo principal atender a los mltiples desafos, gestionando las amenazas con sistemas de prevencin y monitorizacin contina. Los servicios que presta van desde el diagnstico de vulnerabilidades hasta la recuperacin de desastres, pasando por la respuesta a incidentes, neutralizacin de ataques, programas de prevencin, administracin de riesgos y alarmas de antivirus informticos. Un ejemplo que ilustra este despliegue, nos lo ofrece la empresa Symantec [SYM09] para la externalizacin de amenazas malware. Posee en total cuatro SOC distribuidos en distintos puntos del globo: en Virginia (EEUU), Sdney (Australia), Reding (Reino Unido) y Chennai (India). El trabajo conjunto entre ellos permite ofrecer a los clientes una red para detectar cualquier posible riesgo y dar solucin inmediata, 24 horas al da, 7 das por semana y 365 al ao. El trabajo se distribuye entre los cuatro centros, que cuentan con 500 profesionales encargados de velar por la seguridad de los clientes y que stos reciban informacin de mayor calidad y en menor tiempo, obtengan un informe en el que puedan hacer hincapi en los puntos que ms les interese, y puedan minimizar el impacto de las amenazas malware sobre su negocio. Filtran todas las alertas que se reciben diariamente para detectar los ataques reales y riesgos potenciales. De los casi 9,5 millones de alertas y avisos que reciben en el SOC,

10

seleccionan de media unos 60 eventos de seguridad, de los cuales unos 50 requieren una revisin ms profunda para analizar su posible riesgo. Al final del proceso, slo 2 amenazas suponen un riesgo real y demandan una accin inmediata. desde el SOC es posible detectar una amenaza real y ofrecer la solucin en 10 minutos, algo que les permite garantizar una continuidad del negocio de sus clientes del 99,9 %. En ese tiempo logran pasar por cada fase de la amenaza: identificacin, validacin, clasificacin, notificacin y solucin. En definitiva estos centros SOC prestan la externalizacin de lo que vienen llamndose Servicio gestionados de seguridad . Entre otros suelen contener: Servicios de Alerta temprana, Servicios Antifraude, Servicios de filtrado de correo. [RSA08]

02.02.03.01. Servicios de Alerta Temprana CERT. Equipo de Respuesta a Incidentes de Seguridad de la Informacin (Computer Emergency Response Team). Se trata de un servicio de notificacin instantnea va mensajera (e-mails, sms, voz) que se contrata a un proveedor de estos servicios, para

11

recibir informacin en tiempo real sobre las amenazas que estn ocurriendo o que pueden afectar a los sistemas de una empresa, junto con las medidas preventivas y/o parches para subsanarlas. De este modo las organizaciones pueden responder a los riesgos en seguridad de forma anticipada o lo antes posible. Estos proveedores disponen de todo un sistema de informacin en tiempo real, basado en una red que comprende millones de sensores e indicadores en todo el mundo. La red efecta un seguimiento de todas las fuentes de datos de seguridad y ofrece investigacin y anlisis de expertos, lo que se traduce en entregas de alertas confiables y recomendaciones para tomar medidas contra las amenazas a la seguridad que afectan a las infraestructuras de sus clientes. Los anlisis detallados y las recomendaciones sobre la mitigacin de riesgos abarcan notificaciones sobre vulnerabilidades para un amplio espectro de plataformas de software y hardware e incluyen alertas de cdigos maliciosos, spyware y adware. El xito de estos servicios radica en la personalizacin que se le da a cada cliente para que reciba exclusivamente las notificaciones que afecten al entorno informtico del que dispone, siendo as una informacin no invasiva . Los servicios de notificacin son configurables en la interfaz, y permiten asignar distintos buzones de correo para la recepcin de las alertas, as como asignar distintos nmeros de telfono mvil donde recibir las alertas ms crticas, con el fin de poder responder de un modo efectivo ante las incidencias ms graves y poder distribuir la responsabilidad ante las alertas entre los profesionales ms adecuados (especialmente til en equipos no unipersonales de seguridad). Asimismo se recibe un histrico mensual de las alertas producidas para el perfil de cliente.

Ejemplo de proveedores que actualmente estn ofreciendo estos servicios, los encontramos en las organizaciones Hispasec [HISPAs] , Inteco [INTECO] y CCNCERT [CCNcert], este ltimo dado servicio para la Administracin General del Estado.

12

02.02.03.02. Servicios antifraude. Los servicios antifraude y de de phishing son tambin contratados a proveedores especializados, permitiendo as controlar en todo momento qu usuarios maliciosos y redes de crimen organizado especializadas en el fraude telemtico puedan estar sometiendo a engao a clientes de su cartera. Este servicio est orientado principalmente a entidades bancarias, as como a portales de compraventa y de transacciones en la red. Las caractersticas de un servicio antifraude son [HISPAs]: Deteccin temprana. Acciones preventivas.
Servicio Control Control Anlisis

de vigilancia 24x7.

de nombres de dominios sospechosos. auditado de accesos mediante anlisis de registros. de tendencias basado en la experiencia. de fuentes oficiales de lucha contra el fraude.

Seguimiento

Identificacin de los atacantes.

Obtencin Estudio Anlisis

de datos de partida mediante auditora.

de factores geogrficos de los atacantes. de las plataformas empleadas para los ataques. con autoridades y proveedores de servicios implicados. de casusticas anteriores.

Comunicacin Estudio

Contramedidas Personalizadas. Acciones reactivas.

Anlisis Estudio

exhaustivo del perfil del atacante. de la efectividad de las contramedidas posibles. optimizada de contramedidas. del canal fraudulento. de la anulacin de las plataformas del ataque.

Aplicacin Gestin

Envenenamiento

13

 Comunicacin Vigilancia

y denuncia de los atacantes ante las autoridades.

post-anulacin de los atacantes.

02.02.03.03. Servicios de filtrado de correo. Fundamentalmente este servicio realiza un filtrado antivirus y un filtrado anti-spam (elimina los correos comerciales no solicitados, llegando al buzn slo el correo legtimo), envindolos a carpetas de cuarentena hasta que se decida qu hacer con ellos.

14