Geekly articles weekly

Estrategia de seguridad de la información: ¿ha decidido cómo avanzar?

Hola Mi nombre es Anton Udovichenko, soy el jefe del departamento de auditoría de Infosecurity. En base a mi experiencia, preparé instrucciones sobre cómo desarrollar una estrategia de seguridad de la información en una empresa.


El desarrollo de una estrategia de seguridad de la información (SI) para muchas empresas parece ser una tarea difícil, tanto desde el punto de vista de organizar el proceso de desarrollo como de la implementación práctica posterior de la estrategia. Algunas compañías dicen que pueden prescindir de una planificación formal, sin perder tiempo y energía en hacer planes, lo que justifica esto por los rápidos cambios en el mercado tecnológico que tachan todos sus esfuerzos. Dada la presencia de acciones efectivas, este enfoque puede conducir a cierto éxito, sin embargo, no solo no garantiza el éxito en el futuro, sino que también lo pone en serias dudas. La planificación formal reduce significativamente el riesgo de tomar decisiones equivocadas y sirve como base para el control posterior, y también ayuda a aumentar la preparación para los cambios del mercado.

La necesidad de una estrategia de seguridad de la información, por regla general, surge para las empresas que ya se sienten lo suficientemente seguras en el mercado para hacer planes para los próximos años, pero que han enfrentado los siguientes desafíos:

  • falta de correlación entre los objetivos estratégicos de la empresa y las direcciones de desarrollo de la seguridad de la información;
  • nivel insuficiente de seguridad de la información de los procesos comerciales clave de la empresa;
  • bajo retorno de la inversión en el desarrollo de la seguridad de la información.

La estrategia de desarrollo de SI debe considerarse como una especie de mapa que define puntos de referencia en el terreno y se dirige a la meta. Le permite lograr objetivos alcanzables al establecer límites y prioridades para las decisiones tácticas de los responsables del desarrollo de la empresa y / o áreas individuales. Cabe señalar que la estrategia de seguridad de la información no debe ser estática y, a medida que el factor de incertidumbre disminuye con el tiempo, la estrategia debe revisarse y, si es necesario, ajustarse, estableciendo nuevas prioridades para las decisiones tácticas.

¿Para quién es una estrategia de seguridad de la información de interés?


Algunos creen erróneamente que la estrategia de SI solo la necesitan los responsables de garantizar el SI. De hecho, hay muchos más usuarios de la estrategia de SI y todos tienen sus propios intereses, los principales:

Gestión de la empresa:

  • comprender el papel de la seguridad de la información en la implementación del concepto general de desarrollo de la empresa;
  • garantizar la coherencia con la estrategia de desarrollo de toda la empresa;
  • comprensión de los objetivos y el volumen de inversión en seguridad de la información;
  • distribución racional de inversiones;
  • herramientas para monitorear el logro de metas.

Servicio de tecnología de la información:

  • comprender el papel de la seguridad de la información en el desarrollo de una empresa de TI;
  • comprensión de los requisitos por parte de IS para la arquitectura de TI de destino.

Servicio de seguridad de la información:

  • la presencia de principios uniformes para el desarrollo de la seguridad de la información;
  • comprensión de la arquitectura objetivo de la empresa de seguridad de la información;
  • disponibilidad de un plan de acción detallado (cartera de proyectos);
  • una comprensión clara de los recursos requeridos;
  • cumplimiento de la legislación y las normas de la industria con respecto a la seguridad de la información;
  • herramientas para monitorear el logro de las metas de SI.

El procedimiento para desarrollar una estrategia de seguridad de la información.


Antes de considerar los pasos principales para desarrollar una estrategia, debe determinar el criterio de calidad para la estrategia de SI y, en consecuencia, con el objetivo de desarrollarla, esto es obtener respuestas completas a tres preguntas:

  • ¿Cuáles son los objetivos estratégicos para el desarrollo de la seguridad de la información, cómo se relacionan estos objetivos con los objetivos estratégicos de la empresa?
  • ¿Cuál es el perfil (estado) futuro de la empresa de seguridad de la información?
  • ¿Qué acciones deben tomarse para lograr los objetivos estratégicos del desarrollo de la seguridad de la información?

Etapa 1. Preparación. Para comenzar, determinaremos los parámetros y el orden de la gestión del proyecto.

Tareas clave a resolver:

  • crear un equipo de proyecto y establecer metas;
  • coordinación de la estructura de los datos recopilados y adaptación de las plantillas;
  • coordinación de los límites del proyecto, estructura y contenido de los documentos de informes;
  • Coordinación del proceso de gestión del proyecto.
  • determinación del procedimiento para resolver problemas emergentes;
  • preparación y aprobación de un plan de trabajo.

En esta etapa, de hecho, debe establecer los factores clave para el éxito y lograr los resultados deseados, a saber:

  1. Participación de la administración en el proyecto: el desarrollo y la implementación de la estrategia de seguridad de la información deben, en primer lugar, contar con el apoyo de la administración de la empresa, que debe ser responsable de monitorear el progreso del trabajo, la asignación de los recursos necesarios y la aprobación posterior de la estrategia desarrollada.
  2. Formación del equipo del proyecto: su composición debe incluir a los empleados más competentes y permanecer sin cambios durante todo el proyecto. Las siguientes unidades organizativas se distinguen en el proyecto:
    • Curador del proyecto del contratista;
    • Curador del proyecto por parte del cliente;
    • comité directivo;
    • Gerente de Proyecto por parte del Contratista;
    • el jefe del grupo de trabajo por parte del Cliente;
    • Equipo de proyecto del contratista;
    • especialistas funcionales del lado del cliente.

  3. Declaración clara de objetivos, requisitos, limitaciones, así como criterios para el éxito del proyecto, que se adherirá estrictamente a la dirección correcta y cumplirá con las expectativas del cliente.
  4. Desarrollo de un procedimiento de gestión de proyectos: los procesos de comunicación y toma de decisiones aseguran la interconexión e interdependencia de todas las funciones de gestión, logrando así la integridad y eficacia del proceso de gestión. El procedimiento debe prever la distribución de poderes y responsabilidades, el procedimiento para la interacción de los participantes, el procedimiento para coordinar los resultados intermedios y finales, el procedimiento para gestionar los problemas y realizar cambios en el proyecto.

El resultado de esta etapa debe ser:

  • carta del proyecto, horario de trabajo, horario de entrevistas necesarias;
  • estructura de documentos de informes y plantillas para la recopilación de datos / documentos de informes.

Etapa 2. Análisis del estado actual de la seguridad de la información. El objetivo de la etapa es recopilar y analizar el orden y los métodos de procesamiento de la información desde el punto de vista de la seguridad de la información, el estado actual de la seguridad de la información.

Preguntas clave a responder:

  • ¿Cuál es el papel de la seguridad de la información en una empresa?
  • ¿Qué requisitos son la base para el funcionamiento de la empresa de seguridad de la información?
  • ¿Cuál es el estado actual de los procesos de seguridad de IS?
  • ¿Qué herramientas de protección de la información se utilizan, sus ventajas y desventajas?
  • ¿Cuáles son los requisitos de una empresa para proporcionar seguridad de la información?

El establecimiento del papel de la seguridad de la información en la empresa establece el contexto general para desarrollar una estrategia y se lleva a cabo en todos los niveles: gerencia, jefes de departamento y empleados.

La información se recopila en las siguientes áreas:

  • el nivel de cultura de seguridad de la información en la empresa;
  • IS prioridad en relación con los procesos de negocio;
  • el impacto de la seguridad de la información en los procesos comerciales de la empresa;
  • conciencia de la gerencia sobre la necesidad de seguridad de la información;
  • Grado de implicación y conciencia de los empleados sobre cuestiones de seguridad de la información.

El siguiente paso es identificar los requisitos que la empresa está obligada a seguir o en los que voluntariamente decidió enfocarse. Los requisitos, en esencia, son la base para el funcionamiento de la seguridad de la información; estos incluyen: legislación, estándares de la industria, estándares de seguridad de la información nacionales e internacionales, políticas de un grupo de empresas, etc.

El paso de examinar y analizar los procesos de seguridad de la información es clave, ya que determina en gran medida el resultado de todo el proyecto. Su complejidad radica en la necesidad de obtener información confiable y objetiva suficiente para formar el perfil futuro de seguridad de la información, por regla general, durante un tiempo muy limitado. Se pueden distinguir tres enfoques conceptuales: básico, detallado y combinado (experto).

Enfoque básico

El enfoque implica el análisis del estado de la seguridad de la información para el cumplimiento de algún nivel básico de seguridad. El nivel básico es un cierto conjunto estándar de medidas de protección, como regla, característico de las empresas que operan en el mismo campo, para la protección de todos o sistemas de información individuales. Se forma un conjunto típico de medidas de protección basadas en las necesidades de las empresas de utilizar algunas medidas estándar, por ejemplo, para cumplir con los requisitos legales, así como para protegerse contra las amenazas más comunes.

El enfoque básico le permite administrar la cantidad mínima de recursos durante el análisis, puede implementarse incluso en forma de listas de verificación con preguntas sobre la disponibilidad de ciertas medidas y los parámetros para su implementación. Un inconveniente importante de este enfoque es la inexactitud y las limitaciones de la información recopilada, ya que el nivel básico no siempre puede corresponder con la importancia crítica de la información procesada, la especificidad de sus sistemas de información y los procesos comerciales. Los sistemas separados de una empresa pueden caracterizarse por diferentes grados de sensibilidad, diferentes volúmenes y valores de información; el uso de medidas generales de protección en este caso será lógicamente incorrecto.

Enfoque detallado

Un enfoque detallado implica una encuesta exhaustiva de los procesos de procesamiento de información y garantizar la seguridad de la información de la empresa. Dicho enfoque incluye la identificación y evaluación de los activos de información, la evaluación de los riesgos de incumplimiento de IS, la evaluación de la madurez de los procesos de IS, el análisis de estadísticas de incidentes, el análisis de revisiones públicas y los informes de los reguladores.

Los resultados de un análisis detallado permiten hacer una elección bien razonada de medidas de protección al formar el perfil futuro de la seguridad de la información, sin embargo, la implementación de este enfoque requiere una cantidad significativa de dinero, tiempo y mano de obra calificada. Además, existe cierta probabilidad de obsolescencia de los resultados de la encuesta, ya que este enfoque puede requerir un tiempo considerable.

Enfoque combinado (experto)

La aplicación de cada uno de los enfoques descritos anteriormente tiene limitaciones significativas y no siempre permite recopilar información suficiente durante un tiempo aceptable para desarrollar razonablemente una estrategia de seguridad de la información y formar una cartera de proyectos. Por lo tanto, en la práctica, se utilizan varias combinaciones de estos enfoques, incluidos los métodos formales de análisis y la experiencia práctica de los especialistas. Como regla general, este enfoque se basa en un análisis preliminar para una evaluación de riesgo de alto nivel de violaciones de seguridad de la información, teniendo en cuenta la importancia de la información (confidencial), los flujos de información y la importancia de los sistemas de información. En el futuro, se realiza un análisis detallado de los sistemas de información de alto riesgo, para otros puede estar limitado por el enfoque básico. Además, se lleva a cabo un análisis detallado y una descripción de los procesos clave de seguridad de la información, así como una evaluación de las herramientas y métodos utilizados para proteger la información, sus ventajas y desventajas.

Este enfoque permite, con un mínimo de tiempo y esfuerzo dedicado a identificar el estado actual, obtener los datos necesarios para formar el perfil futuro de seguridad de la información. Solo debe tenerse en cuenta que la objetividad y la calidad de los resultados de la encuesta en este enfoque estarán determinadas por la calidad de la metodología de la encuesta y la experiencia de su uso por parte de especialistas.

Además, vale la pena decir que la elección de los métodos de encuesta y el grado de participación de los empleados estarán determinados por el enfoque utilizado y la metodología de la encuesta. Por ejemplo, el enfoque básico puede limitarse al análisis de documentos internos y cuestionarios con una serie de entrevistas con empleados clave, mientras que los otros dos enfoques involucran un mayor número de empleados y una gama más amplia de herramientas:

  • análisis de documentos internos;
  • cuestionamiento
  • entrevistando;
  • inspección visual
  • examen utilizando medios técnicos especializados.

Al final de esta etapa, independientemente del enfoque elegido, debe esperar:

  • opinión experta sobre el nivel de desarrollo de la empresa de seguridad de la información;
  • evaluación integral del estado actual de la seguridad de la información;
  • Descripción de los requisitos comerciales para la seguridad de la información;
  • informe y presentación de resultados de la etapa.

Etapa 3. Desarrollo del perfil objetivo de seguridad de la información. En esta etapa, se resuelven las siguientes tareas clave:

  • asegurar la relación entre los objetivos estratégicos de la empresa y las direcciones de desarrollo de la seguridad de la información;
  • formulación de principios básicos de la estrategia de seguridad de la información;
  • determinación del perfil futuro de la empresa de seguridad de la información.

Uno de los principales obstáculos para desarrollar una estrategia de seguridad de la información en términos de gestionar las expectativas de la alta dirección es la falta de condiciones iniciales claras, a saber, la estrategia de desarrollo de la empresa con una descripción clara de todos los aspectos en términos comprensibles. En la práctica, como regla, no existe una estrategia de desarrollo para la empresa como tal, o no está formalizada y, en el mejor de los casos, se puede formular con palabras.

El problema de la falta de una estrategia de desarrollo para la empresa se resuelve mediante los esfuerzos conjuntos de los representantes de negocios, TI e IS para desarrollar una visión común de las tareas de IS, teniendo en cuenta los siguientes factores:

  • qué iniciativas se planifican en toda la empresa, incluidos los cambios organizativos, el desarrollo del mercado y la tecnología;
  • qué cambios se planifican en los procesos empresariales y de TI;
  • qué decisiones importantes dependen de la confiabilidad, integridad o disponibilidad de la información, o de su recepción oportuna;
  • qué tipos de información confidencial requieren protección;
  • qué consecuencias pueden ocurrir para la empresa después de un incidente de seguridad de la información;
  • qué cambios se pueden esperar en el entorno externo, incluidas las acciones de los competidores, cambios en la legislación, etc.

Las respuestas a estas preguntas pueden ayudar a formular los objetivos de proporcionar seguridad de la información en la empresa. A su vez, debe tenerse en cuenta que para cada iniciativa o acción propuesta, se deben evaluar los resultados posibles o deseados, los riesgos de su implementación, así como los riesgos en caso de rechazo de implementación.

Los principios básicos de la estrategia de SI, de hecho, determinan el conjunto de reglas globales que deben seguirse al construirla, así como al elegir e implementar soluciones. Los principios se formulan en función de los objetivos estratégicos, los procesos de la empresa, las oportunidades de inversión, etc., por lo tanto, generalmente son individuales para la empresa. Destacamos algunos principios universales:

  • Integridad IS: las soluciones de software y hardware aplicables, así como las medidas organizativas, deben acordarse mutuamente y proporcionar un nivel específico de seguridad;
  • estandarización y unificación: la variedad de tecnologías utilizadas debe minimizarse para reducir el costo de mantener la experiencia y las decisiones, su coordinación e integración, licencias y mantenimiento;
  • facilidad de uso: los métodos y medios utilizados para proporcionar seguridad de la información no deberían conducir a un aumento en el número de acciones erróneas del personal, mientras que este principio no significa simplicidad de la arquitectura o una disminución de la funcionalidad;
  • privilegios mínimos: la esencia del principio es la asignación de los derechos mínimos, lo que no debe conducir a una violación del trabajo del usuario;
  • eficiencia económica: las soluciones aplicadas deben esforzarse por reducir el costo total de propiedad, aumentar el índice de retorno de la inversión y optimizar otros indicadores para evaluar la eficiencia económica de las inversiones.

La formación del perfil futuro de la seguridad de la información es la solución a varias tareas parcialmente conflictivas:

  • cumplir con los requisitos de seguridad de la información (legislación, reguladores, fabricantes, socios, etc.);
  • minimizar los riesgos de incumplimiento de IS;
  • asegurar el cumplimiento de los objetivos comerciales, teniendo en cuenta los cambios anticipados en los procesos comerciales y de TI;
  • Proporcionar atractivo de inversión de seguridad de la información.

Existen muchos estándares, tanto internacionales (ISO, COBIT, NIST, etc.) como rusos (STO BR, GOST, etc.), que pueden adoptarse al formar el perfil futuro de seguridad de la información. Sin embargo, es importante recordar aquí que ningún estándar puede aplicarse completamente a todas las empresas. Por lo tanto, no debe desarrollar una estrategia basada únicamente en un estándar o hacer todo bajo la copia de carbón. En el análisis final, todos los componentes del proceso de seguridad de la información deben ajustarse orgánicamente a la lógica del desarrollo empresarial: por un lado, no restrinja demasiado el desarrollo y, por otro, mantenga los riesgos dentro de los límites especificados.

Una cuestión importante que también debe considerarse como parte de la estrategia de SI es el número y las calificaciones del personal, que es necesario para garantizar el cumplimiento de las funciones básicas. Se debe desarrollar al menos el modelo de competencia más simple, que, además de las responsabilidades laborales, determinará el conocimiento y las habilidades organizativas e industriales que necesita el personal. Al desarrollar una estrategia de seguridad de la información, es mejor ofrecer solo aquellas soluciones que requerirán competencias disponibles posteriormente para la empresa, o al menos competencias que se puedan obtener con un mínimo de esfuerzo.

Otro tema que vale la pena considerar es la subcontratación. Puede ser una buena herramienta que acelera la implementación de muchas funciones de seguridad de la información, además de proporcionar su soporte operativo. Al decidir sobre la contratación externa, es necesario tener en cuenta los riesgos correspondientes, ya que el uso de empresas de terceros para proporcionar IS no siempre significa la transferencia de responsabilidad a sus clientes y reguladores, además, en caso de incidentes, a los clientes a menudo no les importa quién causó la falla. En este caso, las funciones de gestión y control de la seguridad de la información no deben subcontratarse por completo.

El resultado de esta etapa será:

  • metas y objetivos, principios de desarrollo de seguridad de la información;
  • descripción de la composición y funcionalidad del sistema de seguridad de la información objetivo;
  • descripción de los procesos de gestión de seguridad de la información objetivo;
  • informe y presentación de resultados de la etapa.

Etapa 4. Formación de la cartera de proyectos de seguridad de la información. En la etapa final, se resuelve el problema de la eficiencia de la inversión en el desarrollo de la seguridad de la información. Para este propósito, se está formando una cartera de proyectos de seguridad de la información, incluida la evaluación y selección de proyectos potenciales, estableciendo sus prioridades y criterios para su viabilidad.

Hay una gran cantidad de métodos para evaluar proyectos potenciales para su inclusión en la cartera: económico-matemático, experto-analítico, gráfico. Entre ellos, los métodos analíticos expertos, en particular, el método de criterios múltiples ponderados, que permite evaluar sobre la base de criterios cuantitativos y cualitativos, priorizar proyectos teniendo en cuenta su especificidad y ser fáciles de usar, se utilizan ampliamente en relación con los proyectos de TI / SI. La esencia del método es asignar un peso específico a cada criterio, que se determina en relación con su importancia para lograr los objetivos estratégicos. Un conjunto de criterios y sus gravedades específicas son individuales para cada empresa y están determinados por su especificidad y escala de actividad. En la práctica, los grupos de criterios se usan con mayor frecuencia: criterios financieros, criterios comerciales, criterios de riesgo. El procedimiento de evaluación que utiliza este método es simple e incluye los siguientes pasos:

  • determinación de un conjunto de criterios y sus gravedades específicas;
  • evaluación de cada proyecto potencial de acuerdo con un conjunto dado de criterios;
  • cálculo de la evaluación integral de cada proyecto potencial;
  • clasificación de proyectos potenciales basada en una evaluación integrada.

El siguiente paso después de evaluar proyectos es la formación de un conjunto óptimo de proyectos que mejor garantice el logro de los objetivos estratégicos de la empresa, teniendo en cuenta las restricciones actuales. En este paso, se identifican discrepancias significativas entre los indicadores del proyecto y su suavización teniendo en cuenta sus interconexiones. Las pautas principales para encontrar la mejor solución, como regla, son:

  • el efecto máximo de la implementación de proyectos lo antes posible, teniendo en cuenta las limitaciones financieras;
  • El efecto de la implementación de una secuencia de proyectos interconectados.

La última pregunta que debe responderse al desarrollar una estrategia de seguridad de la información es cómo, en el proceso de su implementación posterior, descubrir si nos estamos moviendo en la dirección correcta y cuánto hemos avanzado. Para evaluar la efectividad de la implementación de la estrategia de SI, se establece un conjunto de métricas. Las métricas deben ser consistentes con los objetivos de la empresa, por lo tanto, al desarrollar métricas, es importante determinar primero el beneficio comercial real de proporcionar seguridad de la información y luego los criterios que se pueden utilizar para evaluar el logro de este beneficio. Como regla general, la gestión de la empresa como métrica percibe bien los indicadores en términos monetarios o el grado de influencia en los procesos comerciales. También una buena opción es utilizar el modelo de madurez del proceso, ya que ofrece una evaluación visual del grado de implementación de los procesos de SI.

El resultado de esta etapa será:

  • cartera objetivo de proyectos de seguridad de la información;
  • "Hoja de ruta" para el desarrollo de la seguridad de la información;
  • ;
  • ;
  • .




, , .

.

« », , . , , — , «». , , .

.

- — , , () . , . , , .

.

, , , . , , .

.

, . , , .

, , . , .


, , . , , . , , — .

Source: https://habr.com/ru/post/441920/

More articles:


All Articles