Roles Roles y y Responsabilidades Responsabilidades

4.2 Roles Roles y y ResponsabilidadesResponsabilidades

Las buenas prácticas establecen una serie de roles y responsabilidades Las buenas prácticas establecen una serie de roles y responsabilidades referentes a la gestión de la Seguridad de la Información. Los más referentes a la gestión de la Seguridad de la Información. Los más importantes son:

importantes son:

•

• Alta Dirección: (o simplemente Dirección) ya definimos en la sección 2.4Alta Dirección: (o simplemente Dirección) ya definimos en la sección 2.4

que es quien define directrices, establece responsabilidades y provee los que es quien define directrices, establece responsabilidades y provee los recursos necesarios. La Alta Dirección es un concepto amplio sobre la recursos necesarios. La Alta Dirección es un concepto amplio sobre la responsabilidad última, que puede referirse a los Gerentes o Directores en responsabilidad última, que puede referirse a los Gerentes o Directores en conjunto o por separado.

conjunto o por separado.

•

• Dueño de la información:Dueño de la información:  el rol fue definido en la sección 2.5.  el rol fue definido en la sección 2.5.

Normalmente, cada Gerente de línea es el dueño de los activos de su Normalmente, cada Gerente de línea es el dueño de los activos de su sector en la organización.

sector en la organización.

•

• Custodio: el rol ya fue definido en la sección 2.5. Normalmente, es elCustodio: el rol ya fue definido en la sección 2.5. Normalmente, es el

Gerente de Tecnología o el de Seguridad de la Información. En algunos Gerente de Tecnología o el de Seguridad de la Información. En algunos casos, el dueño y el

casos, el dueño y el custodio pueden coincidir.custodio pueden coincidir.

•

• Oficial de Seguridad: es quien gestiona los aspectos del día a día de laOficial de Seguridad: es quien gestiona los aspectos del día a día de la

Seguridad (puede incluir más o menos

Seguridad (puede incluir más o menos capacidad operativa, según el caso)capacidad operativa, según el caso)

•

• Auditor: quien evalúa en formaAuditor: quien evalúa en forma independienteindependiente la gestión de la seguridad y la gestión de la seguridad y

los controles implementados los controles implementados

•

• Usuario: quien accede a la información para realizar sus funciones dentroUsuario: quien accede a la información para realizar sus funciones dentro

de la organización. Debe cumplir con las políticas y procedimientos de la organización. Debe cumplir con las políticas y procedimientos establecidos. Algunas veces los usuarios son los propios dueños de la establecidos. Algunas veces los usuarios son los propios dueños de la información.

información.

La gobernabilidad del esfuerzo de seguridad depende en gran medida de que La gobernabilidad del esfuerzo de seguridad depende en gran medida de que las partes logren una buena comunicación y comprensión mutua. La las partes logren una buena comunicación y comprensión mutua. La seguridad en una organización implica la necesidad de compatibilizar seguridad en una organización implica la necesidad de compatibilizar necesidades distintas (y a veces contrapuestas), y homogeneizar necesidades distintas (y a veces contrapuestas), y homogeneizar conocimiento distribuido. Se trata de una importante

conocimiento distribuido. Se trata de una importante negociación internanegociación interna,, que además está inserta dentro del día a día operativo de cada una de las que además está inserta dentro del día a día operativo de cada una de las áreas. Quien realmente conoce el valor para el negocio que tiene la áreas. Quien realmente conoce el valor para el negocio que tiene la información en cuestión (el dueño), no necesariamente está capacitado para información en cuestión (el dueño), no necesariamente está capacitado para entender los costos o los detalles de la implementación de las medidas de entender los costos o los detalles de la implementación de las medidas de seguridad (los custodios), o el conocimiento metodológico necesario para seguridad (los custodios), o el conocimiento metodológico necesario para evaluar amenazas y vulnerabilidades (el oficial de

evaluar amenazas y vulnerabilidades (el oficial de seguridad). Por ejemplo, losseguridad). Por ejemplo, los dueños muchas veces caen en la tentación de asignar el máximo valor a dueños muchas veces caen en la tentación de asignar el máximo valor a todos los activos e información de los que son responsables, pero los todos los activos e información de los que son responsables, pero los custodios están más interesados en poder asignar de manera eficiente los custodios están más interesados en poder asignar de manera eficiente los recursos invertidos en la operación de las medidas de protección recursos invertidos en la operación de las medidas de protección (básicamente ahorrar tiempo y dinero).

(básicamente ahorrar tiempo y dinero). Por otro lado, quien tiene una

Por otro lado, quien tiene una preparación metodológicapreparación metodológica  en seguridad (el  en seguridad (el oficial de seguridad) en general no puede conocer los procesos de negocio al oficial de seguridad) en general no puede conocer los procesos de negocio al nivel en que lo hace el dueño, ni entender la carga operativa total que tienen nivel en que lo hace el dueño, ni entender la carga operativa total que tienen

que manejar los custodios. Su tarea debe limitarse a la facilitación del proceso que manejar los custodios. Su tarea debe limitarse a la facilitación del proceso de negociación interna, descubrimiento de situaciones que requieren atención de negociación interna, descubrimiento de situaciones que requieren atención y determinación de si se están cumpliendo o no los objetivos y pautas de y determinación de si se están cumpliendo o no los objetivos y pautas de seguridad.

seguridad.

Un caso particular representan los auditores (internos, externos, de sistemas, Un caso particular representan los auditores (internos, externos, de sistemas, etc.). Muchas veces se confunde sus funciones con las de un oficial de etc.). Muchas veces se confunde sus funciones con las de un oficial de seguridad, pero la función de la auditoría es asegurar una

seguridad, pero la función de la auditoría es asegurar una miradamirada independiente

independiente  de la implementación de las técnicas y herramientas de  de la implementación de las técnicas y herramientas de seguridad, incluyendo los procesos de gestión. Las capacidades técnicas seguridad, incluyendo los procesos de gestión. Las capacidades técnicas pueden (y muchas veces, deben) ser similares, pero para evitar conflictos de pueden (y muchas veces, deben) ser similares, pero para evitar conflictos de intereses, los auditores no deben estar involucrados en la implementación. intereses, los auditores no deben estar involucrados en la implementación. Por ejemplo, la auditoría contable es un requisito legal anual para asegurar Por ejemplo, la auditoría contable es un requisito legal anual para asegurar que el balance presentado a los accionistas y demás partes interesadas es que el balance presentado a los accionistas y demás partes interesadas es preciso (la información es íntegra) y que sus decisiones están bien preciso (la información es íntegra) y que sus decisiones están bien fundamentadas.

fundamentadas.

Por último, están las necesidades de los usuarios de la información. Ellos Por último, están las necesidades de los usuarios de la información. Ellos necesitan la información para (ni más ni menos)

necesitan la información para (ni más ni menos) desarrollar el negociodesarrollar el negocio de la de la organización. Por lo tanto, debe existir

organización. Por lo tanto, debe existir un proceso de toma de conciencia paraun proceso de toma de conciencia para que éstos entiendan por qué existen controles de seguridad sobre la que éstos entiendan por qué existen controles de seguridad sobre la información, y el

información, y el entrenamientoentrenamiento suficiente para saber utilizarlos. Las medidassuficiente para saber utilizarlos. Las medidas de seguridad no deben entorpecer las actividades operativas de los usuarios de seguridad no deben entorpecer las actividades operativas de los usuarios más allá de lo razonable (nuevamente, la toma de conciencia), o éstos más allá de lo razonable (nuevamente, la toma de conciencia), o éstos terminarán por desactivarlas, ya sea de manera formal (justificando su caso terminarán por desactivarlas, ya sea de manera formal (justificando su caso ante la Alta Dirección), o informal (encontrando la manera de saltear los ante la Alta Dirección), o informal (encontrando la manera de saltear los controles).

controles).

4.3 Documentación

4.3 Documentación

Según la norma ISO 9000

Según la norma ISO 90002727, la documentación en una organización permite la, la documentación en una organización permite la comunicación del

comunicación del propósitopropósito y la y la coherenciacoherencia de la acción. Entre los aportes de la acción. Entre los aportes mencionados por dicho estándar sobresalen el de proveer la formación mencionados por dicho estándar sobresalen el de proveer la formación apropiada (a las personas); el de la repetibilidad y la trazabilidad; y el de apropiada (a las personas); el de la repetibilidad y la trazabilidad; y el de proporcionar evidencia objetiva. Todas estas características, de una u otra proporcionar evidencia objetiva. Todas estas características, de una u otra forma, ya han sido mencionadas en la sección 4.1, especialmente en lo forma, ya han sido mencionadas en la sección 4.1, especialmente en lo concerniente a los aspectos relacionados con las personas (que requieren concerniente a los aspectos relacionados con las personas (que requieren entrenamiento y toma de conciencia) y los controles administrativos (que entrenamiento y toma de conciencia) y los controles administrativos (que requieren repetibilidad y trazabilidad, o

requieren repetibilidad y trazabilidad, o registro de responsabilidad).registro de responsabilidad).

Respecto de la comunicación de propósito, la principal forma es a través del Respecto de la comunicación de propósito, la principal forma es a través del establecimiento de la

establecimiento de la Política Corporativa de SeguridadPolítica Corporativa de Seguridad. No debería. No debería extrañarnos, entonces, que uno de los pilares de las normas ISO sea el extrañarnos, entonces, que uno de los pilares de las normas ISO sea el establecimiento de una

establecimiento de una  política política (de(de Calidad Calidad   si se trata de ISO 9001, de  si se trata de ISO 9001, de Seguridad de la Información

Seguridad de la Información, si se trata de ISO/IEC 27001, o, si se trata de ISO/IEC 27001, o Ambiental  Ambiental , si se, si se

trata de ISO 14001). trata de ISO 14001).

27 27

ISO 9000:2005 - Sistemas de Gestión de la Calidad - Fundamentos y Vocabulario

ISO 9000:2005 - Sistemas de Gestión de la Calidad - Fundamentos y Vocabulario, Ginebra,, Ginebra,

ISO, 2005 (traducción certificada), sección 2.7.1. ISO, 2005 (traducción certificada), sección 2.7.1.

Los tipos de documentación utilizados para la gestión de la Seguridad de la Los tipos de documentación utilizados para la gestión de la Seguridad de la Información pueden ser de lo más variados. En general, la clasificación de la Información pueden ser de lo más variados. En general, la clasificación de la documentación de acuerdo con el tipo de

documentación de acuerdo con el tipo de documento se muestra gráficamentedocumento se muestra gráficamente en una

en una pirámide documental  como la de la figura 4.1. El nombre,pirámide documental  como la de la figura 4.1. El nombre, funcionalidad y contenido de los escalones de la pirámide puede variar de funcionalidad y contenido de los escalones de la pirámide puede variar de organización en organización, y la que se muestra en la figura es solamente organización en organización, y la que se muestra en la figura es solamente un ejemplo tomado de un caso real. Un esquema documental debería un ejemplo tomado de un caso real. Un esquema documental debería identificar qué documentos son más o menos específicos en cuanto a lo identificar qué documentos son más o menos específicos en cuanto a lo operativo, cuáles contienen el

operativo, cuáles contienen el “qu锓qué” se quiere o se debe (o se va a) hacer en se quiere o se debe (o se va a) hacer en la organización, y cuáles contienen el

la organización, y cuáles contienen el “cómo”“cómo” se va a conseguir lo anterior. A se va a conseguir lo anterior. A medida que se escala cada nivel de la pirámide debería requerirse un nivel medida que se escala cada nivel de la pirámide debería requerirse un nivel creciente de

creciente de aprobación dentro de la organización (por ejemplo, una Políticaaprobación dentro de la organización (por ejemplo, una Política debería ser aprobada por la Alta Dirección, mientras que un Instructivo de debería ser aprobada por la Alta Dirección, mientras que un Instructivo de Trabajo podría ser aprobado por quien va a llevar a cabo la función, o su Trabajo podría ser aprobado por quien va a llevar a cabo la función, o su supervisor). El nivel en la pirámide también da una idea de la

supervisor). El nivel en la pirámide también da una idea de la frecuencia con lafrecuencia con la que se realizarán modificaciones al documento.

que se realizarán modificaciones al documento.

Figura 4.1. Un ejemplo

Figura 4.1. Un ejemplo de pirámide documentalde pirámide documental

Existe una serie de documentos o tipos de documentos que las buenas Existe una serie de documentos o tipos de documentos que las buenas prácticas recomiendan considerar para gestionar la Seguridad de la prácticas recomiendan considerar para gestionar la Seguridad de la Información en la organización

Información en la organización2828::

•

• Política Corporativa: es un documento firmado por laPolítica Corporativa: es un documento firmado por la Alta DirecciónAlta Dirección, sin, sin

demasiadas precisiones operativas y en el que debe quedar en claro una demasiadas precisiones operativas y en el que debe quedar en claro una

28

28  _{Los nombres de la lista son ligeramente distintos a los de la figura 4.1, para acentuar el  Los nombres de la lista son ligeramente distintos a los de la figura 4.1, para acentuar el}

hecho de que son meros ejemplos y que las organizaciones deben definir su documentación hecho de que son meros ejemplos y que las organizaciones deben definir su documentación según sus necesidades. En particular, la terminología utilizada aquí es bastante compatible según sus necesidades. En particular, la terminología utilizada aquí es bastante compatible con las normas ISO.

con las normas ISO.

Directrices Políticas Directrices Políticas Metodología Políticas Metodología Políticas Funcionales Funcionales Instrucciones

Instrucciones Manuales, Manuales, PlanesPlanes y

y pasos pasos a a seguir seguir y y ProcedimientosProcedimientos Características

Características Estándares Estándares e e InstructivosInstructivos y detalles y detalles Evidencia Registros Evidencia Registros Qué Qué Cómo Cómo Más específico Más específico Quién Quién Menos específico Menos específico

intención

intención o o direccióndirección de hacia dónde quiere ir la organización en materia de hacia dónde quiere ir la organización en materia de seguridad. Debería revisarse con una periodicidad cercana a la anual, de seguridad. Debería revisarse con una periodicidad cercana a la anual, pero puede modificarse con una periodicidad menor. Además de una pero puede modificarse con una periodicidad menor. Además de una Política Corporativa de Seguridad de la Información, pueden existir Política Corporativa de Seguridad de la Información, pueden existir políticas de Continuidad del Negocio, de Privacidad, de Seguridad políticas de Continuidad del Negocio, de Privacidad, de Seguridad Personal, entre otras, de acuerdo con la industria en la que se Personal, entre otras, de acuerdo con la industria en la que se desenvuelve la organización.

desenvuelve la organización.

•

• Políticas Funcionales:  son políticas de “menor nivel” que una políticaPolíticas Funcionales:  son políticas de “menor nivel” que una política

corporativa. Tal vez atadas a un

corporativa. Tal vez atadas a un procesoproceso o unao una tecnologíatecnología particulares. particulares. Por ejemplo, una Política de Control de Accesos, Política de Uso de Por ejemplo, una Política de Control de Accesos, Política de Uso de Internet, etc. Su alcance es más acotado, y si bien hay un listado de “qué” Internet, etc. Su alcance es más acotado, y si bien hay un listado de “qué” debemos o no debemos hacer, existe un “cómo” implícito en dicho alcance debemos o no debemos hacer, existe un “cómo” implícito en dicho alcance (por ejemplo, una Política de Uso de Internet claramente se refiere a cómo (por ejemplo, una Política de Uso de Internet claramente se refiere a cómo usamos la computadora de la organización).

usamos la computadora de la organización).

•

• Procedimientos Documentados:Procedimientos Documentados:  un procedimiento es “la forma  un procedimiento es “la forma

especificada para llevar a cabo una actividad o un proceso”

especificada para llevar a cabo una actividad o un proceso”2929. En general. En general se descompone en una serie de

se descompone en una serie de pasospasos, a cada uno de los cuales se les, a cada uno de los cuales se les asigna un

asigna un responsableresponsable, las tareas que debe realizar, y (de ser necesario), las tareas que debe realizar, y (de ser necesario) dónde queda un rastro o

dónde queda un rastro o evidenciaevidencia  de que las tareas se realizaron  de que las tareas se realizaron (registro). Éste es un documento importante para mantener la repetibilidad (registro). Éste es un documento importante para mantener la repetibilidad de los controles administrativos ya mencionada.

de los controles administrativos ya mencionada.

•

• Instructivos de Trabajo:Instructivos de Trabajo:  son  son instruccionesinstrucciones  detalladas y muy  detalladas y muy

dependientes del contexto sobre cómo realizar una función o tarea dependientes del contexto sobre cómo realizar una función o tarea específica (con un alto contenido de “cómo”). Se diferencian de los específica (con un alto contenido de “cómo”). Se diferencian de los procedimientos en que el instructivo no asigna responsabilidades (sólo se procedimientos en que el instructivo no asigna responsabilidades (sólo se explica

explica cómocómo se debe desarrollar una tarea, se debe desarrollar una tarea, independientementeindependientemente dede quiénquién

lo haga). lo haga).

•

• Guías:Guías:  son documentos que establecen  son documentos que establecen recomendacionesrecomendaciones oo

sugerencias

sugerencias, pero no de cumplimiento obligatorio. Una guía puede servir, pero no de cumplimiento obligatorio. Una guía puede servir como referencia metodológica o para interpretar una situación particular. como referencia metodológica o para interpretar una situación particular. Por ejemplo, la norma ISO/IEC 27002 (la ex ISO/IEC 17799) es una guía Por ejemplo, la norma ISO/IEC 27002 (la ex ISO/IEC 17799) es una guía para la implementación de controles de seguridad, y se la toma como para la implementación de controles de seguridad, y se la toma como referencia normativa para la correcta interpretación de la norma ISO/IEC referencia normativa para la correcta interpretación de la norma ISO/IEC 27001 (que sí es de cumplimiento obligatorio, pero no siempre es sencilla 27001 (que sí es de cumplimiento obligatorio, pero no siempre es sencilla de aplicar a todas las

de aplicar a todas las circunstancias).circunstancias).

•

• Registros:  son aquellos documentos en donde se guardanRegistros:  son aquellos documentos en donde se guardan resultadosresultados

obtenidos o

obtenidos o evidenciaevidencia de actividades desempeñadas. Por ejemplo, un de actividades desempeñadas. Por ejemplo, un log log 

de accesos de un servidor, una base de datos donde se guardan los datos de accesos de un servidor, una base de datos donde se guardan los datos de un sistema CRM, un formulario, una orden de pedido impresa y de un sistema CRM, un formulario, una orden de pedido impresa y archivada, etc. Algunos registros se asocian con un

archivada, etc. Algunos registros se asocian con un documentodocumento plantillaplantilla (o (o

template

template) que se va completando en forma manual o automática. En) que se va completando en forma manual o automática. En

Seguridad de la Información, los registros son muy importantes (lo mismo Seguridad de la Información, los registros son muy importantes (lo mismo que asegurar que no sean manipulados) para mantener el registro de que asegurar que no sean manipulados) para mantener el registro de responsabilidad (o

responsabilidad (o accountability accountability ).).

 Además

 Además de de los los distintos distintos tipos tipos de de documentos que documentos que una una organización requiere,organización requiere, un esquema documental debe contar con

un esquema documental debe contar con un proceso asociado que controle laun proceso asociado que controle la redacción

redacción, la posterior, la posterior revisiónrevisión  (por ejemplo, por el área de Seguridad,  (por ejemplo, por el área de Seguridad,