“GESTIÓN DEL RIESGO EN LA SEGURIDAD

INFORMÁTICA: EL NUEVO ESCENARIO DEL

CONTROL”

JUAN HONORATO MAZZINGHI

honorato.juan@gmail.com
GERENTE GENERAL CIDEM CONSULT S.A.
CHILE
Estudio aprobado por el Comité Científico del X Seminario Iberoamericano de
Seguridad en las Tecnologías de la Información.
Ciudad Habana, Febrero 2011

RESUMEN

La ponencia incluye antecedentes de experiencias y vivencias reales del expositor, en el

desempeño de la función de responsable de la seguridad informática y de la documentación
electrónica en la Contraloría General de la Republica de Chile, entre los años 2005 y 2009.

Asimismo, se refiere a aspectos sustantivos de las políticas de seguridad y manejo del riesgo en
los órganos de la administración del estado en chile.

Hay un primer aspecto inevitable, relativo a fijar el marco conceptual del estudio.

También incorpora un capitulo relativo a examinar, a partir de las experiencias empíricas

desarrolladas, las que podrían llamarse claves del éxito en la gestión del riesgo en la seguridad
informática.

Otro aspecto relevante que será estudiado en la presentación es el relativo al diseño y puesta en
marcha de un sistema de gestión del riesgo en la seguridad INFORMATICA.

ABSTRACT

The paper include a record about author experience and real life , in his work like Chief of the
technology security and the electronis documation, betwen the years 2005 to 2009, in the
CGR of Chile.

In the same way, is refer to substantive topics about secutity policys and risk management
in the publics services in Chile.

There are one first topics inevitable, related with to setle the conceptual frame of the study.

Also include a chapter related to examine, based in the real experiences of the author, the
succes key in the risk mangememt of the information technology security.

Finally, an other topic outstanding that will be study in the presentation, is that related to the
design and start on of a mangement risk system for the information technology security.

1
 INTRODUCCIÓN

El presente estudio, basado en buena parte en escenarios

empíricos en que ha participado el autor, pretende ser una aportación útil al Torneo
Internacional y asimismo, una contribución que anime el interés de los estudiosos y expertos
en el tema, para profundizar los comentarios y alcances que se han incluido.

Nos asiste la convicción, y con el debido respeto por otras

opiniones, que el tema de la gestión del riesgo de la seguridad informática en las instituciones
públicas, se asocia más b en con la urgente necesidad de contar con una Cultura de la
Seguridad debidamente operativa, más que con disponer de sofisticados SW y HW para tales
efectos, que no obstante ser requeridos y necesarios, no cierran del todo el tema.

Pensamos que definir una estrategia para crear una cultura

corporativa de seguridad, debidamente difundida, conocida y apoyada por todos los miembros
de la organización, puede contribuir eficazmente , al urgente alineamiento del capital
intelectual en torno a sus demandas y exigencias.

I.- EL MARCO CONCEPTUAL PARA LA SEGURIDAD DE LA INFORMACIÓN Y DE

LOS SISTEMAS.

Un primer aspecto en esta materia se refiere al cambio

paradigmático observado en el quehacer público en Chile, que ha generado un concepto cada vez
más internalizado en los lenguajes de complicidad de la administración, al punto que hoy se habla
sin mayores restricciones de ADMINISTRACIÓN Y SOCIEDAD DIGITAL y con ello, se posiciona la
presencia de los siguientes aspectos relevantes en la gestión de los órganos de la Administración
Pública:

MASIFICACION EN EL USO DE LAS TECNOLOGIAS

GOBIERNO Y ADMINISTRACION PUBLICA ELECTRONICAS

ORIENTACION A LOS CIUDADANOS

TECNOLOGIAS BUSCAN MEJORES SERVICIOS EN INTERNET

EL USO DE LAS TECNOLOGIAS, ACARREA UNA AUTÉNTICA REVOLUCION

CULTURAL EN LOS CIUDADANOS

Y así las cosas en este nuevo escenario, se promueve el

reforzamiento del uso intensivo de la documentación y trámites electrónicos, en ambientes
virtuales, en la mayoría de los servicios de la Administración del Estado.

Cada vez con mayor fuerza se acuña el concepto de la

SEGURIDAD INFORMATICA COMO PROCESO Y NO COMO PRODUCTO y ello, asociado a
aspectos y fundamentos, que van dando al solidez requerida por la nueva cultura pública que se
instala.

Como características sobresalientes de este nuevo entendimiento

podemos señalar las siguientes:

SU FIN PRINCIPAL TIENE QUE VER CON LA CONTINUIDAD DE LAS OPERACIONES

2
 TAMBIEN CON LA PROTECCION DE LA DOCUMENTACION ELECTRONICA

Y CON LA PROTECCION DE ACTIVOS Y BIENES

LOS INCIDENTES DE SEGURIDAD AFECTAN LA CONFIANZA EN LA ORGANIZACIÓN

LA SEGURIDAD ES UN FENOMENO INTEGRAL

Se pueden apreciar claramente, tres planos relevantes par asegurar

la convicción de la necesidad de aplicar esfuerzos en materia de seguridad informática:

EL PROACTIVO: POLITICA GENERAL DE SEGURIDAD QUE INTEGRE LA DIRECCION,

LA EJECUCION Y EL CONTROL.

EL ORGANIZATIVO: COMO RESPUESTA NATURAL Y ESTRUCTURAL A LAS

DEMANDAS NORMATIVAS.

EL TECNOLOGICO: SE REFIERE A LA SEGURIDAD LOGICA; AL ACCESO A LOS

SISTEMAS; A LA CERTIFICACION DE IDENTIDADES DIGITALES; A LA FIRMA
ELECTRONICA; ETC.

En Chile, y de acuerdo con la norma chilena Nch 2777 y la ISO/IEC

2000, la seguridad de la información tiene que ver con la solvencia y permanencia de los siguientes
elementos:

CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
EVALUACION DEL RIESGO
GESTION DEL RIESGO

Para la debida efectividad en el logro de los propósitos señalados,

resulta sugerente la conformación de un Comité de Seguridad de la Información, que al menos
tengan las siguientes funciones y subsecuentes responsabilidades:

DETERMINAR ROLES Y RESPONSABILIDADES

ACORDAR METODOLOGIAS Y PROCESOS ESPECIFICOS
ACORDAR Y APOYAR LAS INICIATIVAS DE SEGURIDAD EN TODA LA CGR.
GARANTIZAR QUE LA SEGURIDAD SEA PARTE DEL PROCESO DE PLANIFICACION
DE LA INFORMACION
EVALUAR LOS CONTROLES DE SEGURIDAD.
REVISAR LOS INCIDENTES DE SEGURIDAD
PROMUEVE LA SEGURIDAD EN LOS NEGOCIOS

II.- LAS CLAVES EL ÉXITO EN MATERIA DE SEGURIDAD INFORMÁTICA

La experiencia acumulada, en el trabajo realizado en la CGR de

Chile, durante más de 4 años, como responsable de la seguridad informática y de la

3
 documentación electrónica corporativa, unida a la nutrida información disponible, nos permite
aproximar una categorización de decisiones de gestión, que en conjunto y sistémicamente,
pueden definir algunas claves o llaves, para avanzar con éxito en esta delicada misión de
resguardar adecuadamente la seguridad de la documentación electrónica y de la informática.

Los que a continuación se examinan son los propósitos

inevitables, que hay que acreditar, para crear un escenario de llaves o claves para el avance
exitoso en esta materia:

A) ESTRATEGIAS DE IMPLANTACION

Para la acreditación de este propósito, en el levantamiento de los

procesos asociados, debería formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

¿existe una estrategia en relación con empleo de las TIC, aprobada y conocida por todos?

¿están planificadas las acciones?

¿la planificación de las TIC está alineada con el plan estratégico de la organización?

¿la alta dirección esta involucrada en el seguimiento?

¿funciona un Comité de Seguimiento?

¿participan en el la dirección, el centro de informática y los usuarios?

B) POLITICAS, NORMAS Y PROCEDIMIENTOS

Para la acreditación de este propósito, en el levantamiento de los

procesos asociados, debería formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

¿hay en operación políticas corporativas para el uso de las ti?

¿se han establecido políticas operativas para los diferentes negocios?

¿existen control para mitigar el riesgo?

¿las políticas son conocidas por los empleados?

¿existen procedimientos ti que especifiquen y documenten los procesos de negocios?

¿hay agentes preocupados de la mantencion de las políticas?

C) GESTIÓN DE LOS SISTEMAS DE INFORMACION

Para la acreditación de este propósito, en el levantamiento de los

procesos asociados, debería formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

¿son los SIA un engranaje fundamental de la operación de las unidades de negocios?

4
 ¿se ha definido una política de seguridad de la información?

¿se han comunicado estas políticas y se aplican?

¿hay instructivos para la gestión tic con outsourcing?

¿existen mediciones del grado de satisfacción de usuarios?

¿hay agentes preocupados por los costos financieros y por la calidad?

D) ORGANIZACIÓN SERVICIOS TIC

Para la acreditación de este propósito, en el levantamiento de los

procesos asociados, debería formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:
¿están definidas la estructura, funciones y responsabilidades en la gestión del tic?

¿la unidad creada, asume todas las funciones tic?

¿hay adecuada oposición de funciones en el entorno operativo?

¿se han definido perfiles de competencia, para cada desempeño de cargos en la unidad
tic?

¿hay políticas de capacitación para los profesionales tic?

¿se ha instalado para la unidad, la filosofía de mejoramiento continuo?

E) LOS PROCESOS DE AUDITORIA Y CONTROL A LAS TIC

Para la acreditación de este propósito, en el levantamiento de los

procesos asociados, debería formularse las siguientes interrogantes, con las respuestas
debidamente respaldadas:

¿existen procedimientos formales o manuales en la materia?

¿se informan los resultados de las auditorias?

¿se publican en un sitio colaborativo para conocimiento de todos?

¿se auditan los procesos de negocios en escenarios informatizados?

¿se mide el impacto de implantar y aplicar tecnologías informáticas en los procesos de

negocios?

La información que se rescate del levantamiento de estos procesos claves relacionados con la
infraestructura y funcionalidades de la seguridad informática corporativa, permitirá reducir de
manera potente la variedad y la incertidumbre posibles, en materia de las decisiones estratégicas
que habrá que tomar para implantar un sistema de control de gestión de la seguridad informática
(SGSI), que garantice su éxito.

5
 De esta forma, será posible gestionar favorablemente factores
críticos de éxito en la implantación de un SGSI, como los siguientes:

Grado de madurez de la organización

Definición del ámbito y del alcance
Evaluación de riesgos
Controles internos en las 4 e (eficiencia, eficacia, economicidad y ética).
Plan de auditorias
Recursos humanos calificados
Compromiso de la autoridad

3.- PRINCIPIOS Y REQUISITOS BASICOS EN LA SEGURIDAD INFORMÁTICA

Los principios universalmente aceptados son los siguientes:

CONFIDENCIALIDAD: Relacionado con la reserva necesaria de los procedimientos y

protocolos de seguridad.

INTEGRIDAD: Tiene que ver con la certeza y solidez de los datos relativos al sistema de
seguridad informática.

DISPONIBILIDAD: Acceso 7 por 24.

PREVENCION: Gestión del Riesgo

PROTECCION: Busca eliminar vulnerabilidades

GESTION DE CRISIS :Cuando ella es inevitable, se pretende minimizar sus impactos

GESTION DE CONSECUENCIAS: Acertividad en la nueva situación.

Las cuestiones trascendentes en materia de seguridad informática tienen que ver con que las
decisiones que se tomen, estén alineadas con requerimientos básicos de gestión relacionados con
los siguientes requerimientos inevitables:

GESTION GLOBAL Y CORPORATIVA DE LA SEGURIDAD

PLAN ESTRATEGICO DE SEGURIDAD

CUADRO DE MANDO INTEGRAL PARA LA SEGURIDAD INFORMATICA

INSTALACION DE UN SGSI

MODELOS DE MADUREZ DE LA SEGURIDAD

4.- EL RIESGO EN LA SEGURIDAD INFORMATICA: EL MARCO CONCEPTUAL PARA

UN TEMA TRASCENDENTE.

En el marco puramente conceptual, el Riesgo se entiende como la posibilidad de que un evento,

contingencia o episodio ocurra y que pueda tener impacto en los procesos del negocio; en los
objetivos y en las metas corporativas.

6
Es muy improbable el cero riesgo, pero si se puede mitigar de manera importante, mediante
eficaces sistemas de control y la disponibilidad de mapas de riesgo.

Desde el punto de vista organizacional o corporativo es posible disponer de un modelo estratégico

de gestión del riesgo, que sea capaz de reducir sus impactos y mitigar los efectos y alcances,
cuando este sea inevitable asumir.
Un modelo estratégico de gestión del riesgo, aún aceptando que
los modelos son solo aproximaciones, debería tener los siguientes elementos que, claramente,
permiten aumentan la capacidad del modelo para prevenir a la organización cuando ello es una
realidad sin vuelta:

Presencia de controles de seguridad necesarios para mitigar el riesgo asociado a la fuga

de información.

Desarrollo de una política de seguridad corporativa.

Amplio espacio para implementar controles efectivos.

Definición de políticas de gestión de identidad y de accesos a la informacion

Decisiones sólidas en cuanto a la relevancia de tener planes de promoción de una cultura

de seguridad

Inversiones en procedimientos electrónicos para la gestión de contenidos de la

documentación electrónica (Knowledge Management)

Disposición de soluciones integrales de cifrado de datos

Ahora bien, en nuestra propia experiencia en la CGR de Chile, rescatamos como una cuestión
trascendente, en cuanto a que la gestión del riesgo en la seguridad de la informática y de la
documentación electrónica, no pasa tanto por la riqueza en HW y SW, sino que lo hace más bien,
por la riqueza del capital intelectual de la entidad y por como este , en un proceso de
conversaciones inteligentes de carácter permanente, es capaz de asociar la seguridad y sus
exigencias, con los logros en su propio bienestar, y con ello, asume una buena disposición para
desarrollar un concepto de CULTURA DE LA SEGURIDAD INFORMATICA en la Institución.

Apreciamos los siguientes como principios rectores para un modelo de Cultura de la Seguridad
Informática:

CONOCIMIENTO: ESTO ES CONCIENCIA DE SU NECESIDAD

RESPONSABILIDAD: DE TODOS

RESPUESTA: CONDUCTA PROACTIVA FRENTE A INCIDENTES

ETICA: RESPETO POR LOS DEMAS

EVALUACION DE LOS RIESGOS : EN FORMA PERMAN ENTE

DISEÑO E IMPLEMENTACION DEL MODELO : EN BREVE PLAZO

GESTION DE LA SEGURIDAD: EN LA ORGANICA DE LA ENTIDAD

7
 FEEDBACK Y MEJORAMIENTO CONTINUO : PROCESOS RELEVANTES

El marco lógico para el análisis y evaluación del riesgo en la seguridad informática puede definirse
como sigue:

Lo primero es tener muy claro que la exposición al riesgo, pasa por una clara definición de las
AMENAZAS, IMPACTOS Y VULNERABILIDADES de la entidad y su modelo de gestión.

A su turno, ese escenario está en directa relación con aspectos organizacionales vinculados con a
lo menos, los ACTIVOS (infraestructura) SERVICIOS y CONTROLES existentes, y sus
capacidades de eficiencia, eficacia y oportunidad, y es en este esquema, en el que deben
resolverse las decisiones relativas al Riesgo In gerente y al Riesgo Efectivo.

Finalmente, en esta materia se estima de utilidad, tener presentes los siguientes documentos:

UNE-I50/IEC 17.799
CODIGO DE BUENAS PRÁCTICAS PARA LA GESTION DE
LA SEGURIDAD INFORMATICA

INFORME UNE 71.501 PARTE 3

ESTRATEGIAS DE GESTION DE LA SEGURIDAD EN TI.
RIESGO COMBINADO

INFORME UNE 71.502-2004

ESPECIFICACIONES PARA LOS SGSI

Para un efectivo análisis del riesgo en el sistema de información y en la seguridad informática,

es sugerente desglosar un proceso de negocios, lo que facilita el análisis y la gestión del
riesgo, a partir de los subprocesos asociados.

Asimismo, precisar los flujos de transacciones relevantes y diferenciados, asociados a

productos del negocios, permite identificar los procesos.

Así entonces, la gestión de un sistema de información, se examen a como PROCESO y como

SUBPROCESOS, por ejemplo, el uso de la Plataforma Tecnológica, la gestión del Desarrollo y
Explotación, Aplicaciones de HW y SW de Seguridad, las acciones en materia de Soporte y
Mantención y la función de Comunicaciones.

Las áreas más sensibles en materia de evaluación del riesgo en la seguridad informática
podrían ser las siguientes:

SISTEMAS OPERATIVOS
APLICACIONES
REDES
SERVIDORES
DOCUMENTACION ELECTRONICA
INTRANET
INTERNET
LO FISICO
USUARIOS

En el modelo de gestión de la seguridad, es posible advertir algunos requisitos esenciales, para

asegurar su eficiencia, como los que se indican:

8
 Definiciones de accesibilidad (autenticación) de identidades y
permisos

Reforzar la confidencialidad de la información relevante.

Declarar corporativamente el valor de la documentación electrónica como activo

Impedir accesos no autorizados

Integridad de la información, promoviendo una sola identidad responsable y la no manipulación de

la información

Procurar disponibilidad permanente y garantizar el 99,9%

Nos parece interesante comentar algunos aspectos relativos a los principales problemas en
seguridad informática, que suelen ser “pan de cada día” en la gestión informática de las
organizaciones, y que, se resuelven con soluciones de la más variada índole, y en muchos casos
recurriendo al talento y creatividad de los propios usuarios de los sistemas.

Así, podemos mencionar los incidentes mas frecuentes en esta materia:

NO COMPRENDER LOS OBJETIVOS GENERALES DE LA ORGANIZACIÓN

SEGURIDAD NO FUNCIONAL A ESOS OBJETIVOS

NO SE CONTRIBUYE A OPTIMIZAR LOS PROCESO DE NEGOCIOS

NO CONTROLAR EL CUMPLIMIENTO DE TIEMPOS Y RECURSOS

AUSENCIA DE PLANIFICACION Y EVALUACION EN DEMANDA DE RECURSOS.

Ahora bien, en el mundo real de las organizaciones públicas en Chile, no se esta al margen de
ataques que traen consecuencia de diversa naturaleza y que pueden resumirse, de acuerdo a su
frecuencia, como sigue:

INTERCEPCION DE CONTRASEÑAS

ROTURA DE CONTRASEÑA

FALSIFICACIONDE IDENTIDADES

ROBO DE INFORMACION

DESTRUCCION DE DATOS

DENEGACION DEL SERVICIO

Claramente estos episodios traen consigo diversidad de impactos en los sistemas y entre ellos,
mencionamos los siguientes:

9
USO ILICITO DE LA INFORMACION

PERDIDA DE DATOS

INTERRUPCION DEL SERVICIO

PERDIDAD DE IMAGEN

RESPONSABILIDADES LEGALES

Finalmente queremos aportar algunas reflexiones para animar una mejor administración de la
seguridad informática corporativa y ello, por cierto, sin agotar para nada el tema.

DIAGNOSTICO INICIAL DE LA SEGURIDAD

Fundamental para la toma de decisiones, basada en redefinición de los procesos y

subprocesos asociados al negocio central y sus productos.

PLAN INTEGRAL DE LA SEGURIDAD

Esto implica realizar un sostenido esfuerzo de naturaleza
corporativa y sistémica.

DEFINICION DE POLITICAS

Aspecto significativo y relevante, como factor crítico de éxito, en la medida que ello traduce el
compromiso de la alta dirección publica.

DEFINICION DE ESTANDARES
Necesario par los efectos del cumplimiento de metas y controles
internos en general.

IMPLANTACION DE PROCEDIMIENTOS

Fuerte aporte a la normalización de los quehaceres cotidianos y notable contribución para

el alineamiento del personal.

CLASIFICACION DE ACTIVOS INFORMATICOS

Información necesaria para el enfoque realista ante episodios o incidentes informáticos.

EVALUACION DE RIESGOS EN SEGURIDAD

Contar con ello, no es solo una necesidad, sino que más bien,
una autentica emergencia institucional

DEFINICION DE EQUIPOS RESPONSABLES

Clave par el éxito del modelo.

DECISIONES EN SW DE SEGURIDAD
Importante, pero, cuidado con poner “la carreta delante de los
bueyes”.

10
 BSC EN SEGURIDAD INFORMATICA
Esencial como herramienta par el control de gestión de la
informática corporativa.

CONCLUSIONES

Como una forma de contribuir a seguir avanzado en el tema, señalamos resumidamente

algunas reflexiones finales:

La gestión del riesgo en la seguridad informática en la institución, es responsabilidad de TODOS.

Lo esencial es crear y desarrollar, al interior de la organización, una CULTURA DE LA

SEGUIRIDAD.

El alineamiento del personal, con la estrategia de seguridad, es un FACTOR CLAVE DE ÉXITO

del modelo que se resuelva implantar.

El compromiso e involucramiento de la alta dirección, HACE SUSTENTABLE el modelo.

En las decisiones de SW y HW, “poner la carreta delante de los bueyes” PUEDE SER FATAL.

BIBLIOGRAFIA

1. APUNTES PERSONALES DEL AUTOR

2. LIBRO ELECTRONICO DE SEGURIDAD INFORMATICA Y CRIPTOGRAFIA.

JORGE RAMIÓ AGUIRRE

3. SECURITY ENGINEERING THE BOOK

ROSS ANDERSON 2ª EDICION 2007

4. AUDITORIA DE SISTEMA Y POLITICAS DE SEGURIDAD INFORMÀTICAS

PAPER PUBLICADO EN MONOGRAFIAS.COM

11