Comité Directivo y Comité de Estrategia TIC

Muchas veces habremos oído hablar del Gobierno de TI pero realmente no nos queda claro cuáles son sus funciones y qué personas deben pertenecer a esta cúpula. Simplemente por el nombre podemos intuir que está formado por un conjunto de personas encargadas de definir las políticas de TI y velar por su cumplimiento. Además, no olvidemos que el Gobierno de TI es un mecanismo de control subordinado a las ordenes de los verdaderos líderes de la organización encargados de las unidades de negocio.

Podemos encontrar dos comité dentro del Gobierno de TI, el Comité Directivo TIC y el Comité de Estrategia TIC. En muchas organizaciones ambos comité están fusionados en uno solo, lo importante son sus funciones y no el nombre que se le asigne.

El Comité de Estrategia TIC está formado por un grupo reducido de personas encargadas de:

• Definir la estrategia y objetivos TIC alineándolos con los objetivos de negocio.
• Comprometerse en revisar los planes a corto y largo plazo de los distintos departamentos de SI para asegurarse que son acordes con los objetivos marcados.
• Realizar funciones de asesoramiento sobre los riesgos de cumplimiento de las TIC.

Realizar planes estratégicos no es algo que se piense y se haga de la noche a la mañana, sino que requiere mucha experiencia y conocimiento del sector. Muchas veces el plan estratégico más obvio es el más acertado, solo que a pocos se nos ocurre y pensamos en planes complejos. Un ejemplo claro lo tenemos de parte de Claude Hopkins quién dijo que para vender hamburguesas frías (objetivo) tan solo hay que buscar personas hambrientas (estrategia) y no inventar recetas secretas. Podemos encontrar tres tipos de planes: Planes operacionales con una duración de un año o menos; Planes a largo plazo con una duración entre uno y tres años; Planes estratégicos que suelen durar más de tres años.

El Comité Directivo TIC está formado por muchas más personas que el Comité de Estrategia TIC y tiene que desempeñar muchas más funciones. En este comité debería haber un representante de los siguientes departamentos: Marketing, Desarrollo, Ventas, Finanzas, Jurídico, Calidad, I+D, Proyectos, Continuidad del Negocio, TIC, Recursos Humanos y Administración. Entre sus funciones se encontrarían las siguientes:

• Aprobar presupuestos y proyectos de TI.
• Revisar y aprobar las principales adquisiciones de hardware y software siempre dentro de los límites aprobados por la Junta Directiva.
• Aprobar y monitorizar los principales proyectos, comprobar los planes y presupuestos de SI, establecer prioridades, aprobar estándares y procedimientos, y monitorizar el rendimiento de los SI.
• Analizar el coste de mantener los sistemas y valorar nuevas iniciativas o sistemas que apoyen las estrategias del negocio.
• Revisar si los recursos disponibles son los suficientes en cuanto a tiempo, personal y equipamiento.
• Tomar decisiones con respecto a la centralización o externalización, y asignar responsabilidades.

Lo ideal es que ambos Comité utilicen un cuadro de mandos integral (BSC) donde se defina claramente la estrategia y los objetivos para monitorizar el grado de cumplimiento y así poder tomar decisiones fundamentada en datos ecuánimes, pero el uso de este tipo de herramientas lo dejaremos para otra entrada.

ISO 27033-4: Protegiendo las comunicaciones

Aunque aún utilizamos protocolos de red que no fueron diseñados con la seguridad en mente, como BGP, las comunicaciones han avanzado los suficiente gracias al uso y extensión de esta por todo el mundo, si además le sumamos el coste cada vez más reducido y la facilidad de publicar nuevos servicios para llegar a cualquier rincón, hace que las empresas y organizaciones se enfrenten a nuevos retos a la hora de planificar, diseñar e implantar nuevas redes abiertas a Internet ya que deben protegerlas para mantener la confidencialidad, integridad y disponibilidad de los datos.

Para los arquitectos y diseñadores de redes, directores de redes y jefes de seguridad de redes la organización ISO ha publicado a principios de este año 2014 las mejores prácticas para proteger las redes, y que podemos encontrar dentro del estándar ISO/IEC 27033-4. En estas mejores prácticas la organización ISO pretende mejorar la protección de las redes, los sistemas y los datos que se alojan en ellas definiendo controles que nos ayuden a detectar, analizar y mitigar las amenazas provenientes de Internet, además facilita algunas lineas generales que deben tener los equipos de seguridad perimetral que nos ayudarán a decidir con mayor facilidad qué equipo adquirir, qué despliegue realizar y qué funcionalidad habilitar.

A continuación podemos ver los controles de seguridad a los que hace referencia el estándar ISO:

• Stateless packet filtering: La solución adoptada debería poder analizar y filtrar las protocolos no orientados a conexión como por ejemplo UDP.
• Stateful packet filtering: Al igual que el anterior, también debería poder analizar y filtrar los protocolos orientados a conexión como TCP.
• Application firewall: El cortafuegos de aplicaciones debe ser capaz de bloquear y permitir aplicaciones, por ejemplo permitir el uso de Dropbox pero no el uso de SkyDrive.
• Content filtering: Consiste en analizar y filtrar el tráfico basándonos en su contenido y no en las cabeceras de TCP/IP.
• Intrusion Prevention System and Intrusion Detection System: El equipo de seguridad perimetral debe ser capaz de detectar y bloquear ataques basándose en algún motor IPS/IDS.
• Security management API: Es recomendable que el equipo disponga de alguna API para poder recabar información con herramientas de terceros.

A continuación podemos ver algunas lineas generales a las que hace referencia el estándar ISO que nos ayudarán a elegir el equipo de seguridad perimetral que mejor se adapte a nuestra plataforma:

• Plataforma software frente a plataforma hardware: Dependiendo de la carga y la criticidad de las comunicaciones nos decidiremos por una solución u otra.
• Configuración: Las capacidades de configuración y la facilidad de configuración es un punto a tener en cuenta.
• Características de seguridad: Además de los controles de seguridad mencionados anteriormente es recomendable valorar otras funcionalidades como la posibilidad de definir la política de contraseñas del equipo, la integración con el directorio activo de usuarios o las capacidades de VPN.
• Capacidades de administración: Posibilidad de administración web, consola mediante SSH y/o Telnet, SNMP, o necesidad de algún cliente.
• Capacidades de logging: El logeo de todo lo que pasa por el equipo es importante para detectar problemas y realizar troubleshooting.
• Capacidades de auditoría: Para saber qué pasó en una determinada fecha son necesarias funcionalidades de auditoría y análisis forense.
• Documentación, training y soporte: La claridad y cantidad de documentación suministrada por el fabricante es importante, además de la posibilidad de asistir a cursos de formación, y el soporte técnico preciso en tiempo y forma.
• Tipos de implementación: La posibilidad de instalar los equipos en modo route o modo transparente adaptándolo a las necesidades de nuestra infraestructura.
• Modos de operación y alta disponibilidad: En entornos donde la disponibilidad es crítica es necesario instalar los equipos en cluster Activo-Pasivo o Activo-Activo.

Como podemos ver la mayoría de controles de seguridad y funcionalidades que recomienda la ISO son todas aquellas que incorporan los principales fabricantes de cortafuegos UTM, sin embargo a la hora de decidir la adquisición de una solución de seguridad perimetral que proteja nuestras redes no deberíamos perder de vista todas estas recomendaciones. Mientras tanto seguiremos esperando con anhelo la siguiente publicación de la ISO 27033 referente a la protección de redes inalámbricas.

Funciones y Responsabilidades del CISO

Cuando me toca presentar los resultados de una auditoría de seguridad, o instalar y configurar algún elemento de seguridad, como un cortafuegos o un SIEM, es cuando uno realmente se da cuenta del grado de concienciación en seguridad que tiene una organización. Aunque todas son conscientes de la importancia de implantar controles de seguridad, a veces me he encontrado con que no saben quién debería administrador un SIEM o quién sería el responsable de subsanar las debilidades de seguridad encontradas durante la auditoría. Sin embargo dependiendo del tamaño de la organización y de la adopción de las TIC dentro de esta, deberían ayudarse de un CISO para que éste vele por la seguridad de la información en la organización. El problema muchas veces viene por el desconocimiento de las funciones de un CISO o Director de la Seguridad de la Información, que podemos resumir brevemente a continuación:

• Desarrollar la estrategia de seguridad, supervisar las iniciativas y los programas de seguridad, y servir de enlace con la alineación de los procesos de negocio. Es decir, definirá la política de seguridad y las normativas internas, interactuará constantemente con otros gerentes y defenderá, controlará y justificará el presupuesto asignado a la protección de la seguridad de la información. Además se encargará de desarrollar el plan de continuidad del negocio (BCP) y el plan de recuperación ante desastres (DRP). 
   
• Asegurar que se realiza una evaluación de riesgo e impacto del negocio, analizando los riesgos del negocio, de la tecnología utilizada y de la adopción de nuevas tecnologías. Además desarrollará estrategias para mitigar el riesgo como por ejemplo incentivando la capacitación y actualización permanente en materia de seguridad para usuarios internos y externos, o estableciendo un sistema disciplinario junto a RRHH. También se encargará de la seguridad física de los centros de cómputo y velará por el cumplimiento y contingencia de las políticas y normativas legales.
  
  
• Monitorizar la utilización y la eficacia de los recursos de seguridad para conocer si se están utilizando de manera óptima y si están cumpliendo con el propósito por el que fueron obtenidos.
  
  
• Desarrollar e implantar métricas, controles y herramientas de monitorización que supervisen la seguridad de las actividades de la organización, para ello además de monitorizar deberá analizar y revisar los informes de monitorización de la seguridad para controlar de manera pro-activa las amenazas y vulnerabilidades de la organización.
  
  
• Desarrollar métodos para conocer la eficiencia y eficacia de las métricas y controles adoptados para comprobar si las métricas y controles establecidos cumplen con el objetivo por el que fueron implantados.
  
  
• Servir de enlace con otros proveedores de seguridad, además de dar soporte a terceros. Analizar, medir, controlar y hacer cumplir el Gap. Ayudar a certificar que la organización cumple con las políticas, procedimientos y estándares.

Al igual que me he encontrado con organizaciones que no pueden o no necesitan un CISO en su plantilla, por lo que cuando necesitan una determinada tarea subcontratan la consultoría, también me he encontrado con organizaciones que tienen definida claramente las funciones y responsabilidades de cada persona teniendo en plantilla a un CISO e incluso pensando en añadir un Chief Data Officer o Chief Digital Officer, obviamente estamos hablando de organizaciones que se lo pueden permitir y que incluso puedes encontrarte con hasta siete capas o niveles de cortafuegos.