Mòdul Professional 1: Incidents de ciberseguretat - Governança

Índex

1 Premises de l'estratègia de ciberseguretat

Com ja hem vist molts cops les organitzacions tenen l'obligació legal de ser proactives en matèria de ciberseguretat, especialment per la LOPD i la reforma del codi penal en ciberdelictes. És per aquests motius que cal que tota organització plantegi com abordar la seguretat dels seus sistemes IT i pensi les estratègies a seguir.

Des de un punt de vista genèric, en plantejar l'estratègia global cal mantenir al cap els conceptes següents:

1.1 Independència

Les estratègies i mesures de seguretat a implantar en l'organització, tot i poder ser "genèriques" o "de manual", cal que estiguin adaptades a la idiosincràsia i l'entorn de l'organització. És a dir, cal adaptar qualsevol estratègia a les particularitats de la nostra organització i no fer simplement un "copy/paste".

Un refrany que podem aplicar per entendre la idea és: "El mapa no és el territori".

Això també acaba implicant:

  • Realitzar un anàlisis de riscos per veure i valorar els riscos concrets associats a la nostra organització.
  • Adequar les mesures de seguretat a aquest anàlisis i moderar els esforços invertits, tant en intensitat com en direcció, segons les nostres necessitats.

1.2 Inter-dependència

De forma paral·lela, cal tenir molt clar que molts dels riscos i solucions que afecten a altres organizacions, semblants a la nostra, seràn molt semblants als que afrontarem nosaltres. Per tant aprendre del company ens farà ser més proactius i efectius, ja que podem aprendre dels seus encerts i dels seus errors.

Per tant és important crear enllaços i xarxes d'intercanvi de coneixement i experiències tant amb entitats governamentals (CERT) com amb altres empreses amb característiques semblants (TIC3).

Amb aquests recursos es poden organitzar jornades d'intercanvi, formació i canals de comunicació d'incidències o intel·ligència.

1.3 Millora continuada

No cal insistir gaire en el concepte de que cal establir un cicle de millora continuada en la gestió de la ciberseguretat, normalment instaurant un SGSI (Sistema de Gestió de la Seguretat Informàtica). Recordem que és una de les recomanacions de la LOPD i per tant gairebé un imperatiu legal per demostrar la proactivitat de l'organització en aquesta matèria.

D'aquesta forma la nostra ciberseguretat s'adaptarà al entorn canviant de l'empresa i la seva realitat, actualitzant les polítiques, realitzant formació als treballadors i retroalimentant tot el sistema amb auditories periòdiques.

2 Rols

Els rols principals que gestionen tant les IT com la seguretat d'una organització són:

organigrama_roles_cibserseguridad_empresa.png

A partir d'aquí en poden penjar departaments on s'estipulin els seus propis responsables. Tanmateix, per tenir-los clars els definirem una mica més.

2.1 CEO

El Chief Executive Officer és el director executiu, el gerent, i per tant el càrrec més elevat dins de l'organigrama empresarial. És el responsable final de tota l'organització i tots els seus aspectes.

Com a responsabilitats tenim:

  • Definir objectius de l'organització.
  • Supervisar que aquests objectius siguin perseguits i assolits.

2.2 CSO

El Chief Security Officer penja directament del CEO i és el responsable de la seguretat de l'organització. Com a idea nuclear podem dir que és el responsable de la seguretat física i lògica de l'organització i, tot i que és el responsable, té una orientació més "externa" o global. Entre les seves responsabilitats trobem:

  • Visió de negoci comprenent els riscos que s'afrontes i com tractar-los.
  • Entendre objectius de l'organització i assegurar que tota activitat els persegueix.
  • Comprendre les necessitats normatives, legislatives, de gestió de reputació i expectatives d'usuaris i clients.
  • Establir plans de continuïtat i recuperació.
  • Estar actualitzat de canvis normatius.

2.3 CISO

El Chief Information Security Officer és el director de la seguretat de la informació i per tant garanteix que aquesta estigui ben protegida. Com podem apreciar, s'assembla al CSO, però en aquest cas està més centrat en els aspectes tècnics o interns de l'organització. Les seves responsabilitats són:

  • Generar i implantar les polítiques de seguretat.
  • Garantir la seguretat i privacitat de les dades.
  • Supervisar el control d'accés a la informació.
  • Supervisar el compliment normatiu de la ciberseguretat.
  • Supervisar l'arquitectura de ciberseguretat.
  • Responsable del CSIRT (Ciber Security Incident Response Team).

2.4 CIO

El Chief Information Officer és el gerent de IT i reporta directament al CEO. S'encarrega de tota la gestió de IT, alinear-la al negoci i aconseguir els objectius planificats.

2.5 CTO

El Chief Technology Officer penja del CIO i, com en el cas del CISO, té una bessant més tècnica i la gestió del dia a dia de IT.

3 Articulació de la ciberseguretat mitjançant les polítiques de l'empresa

Com ja em comentat més d'un cop, una política és una eina de gestió fonamental per la gestió i funcionament d'una organització. Aquesta concreta una missió, objectius o serveis interns i externs (i per tant responsabilitats) alhora que dota d'estructura (organigrama, canals de comunicació, etc.) i recursos (humans i econòmics) per aconseguir aquests objectius.

Quan el CEO de l'organització veu la necessitat de gestionar de forma específica la ciberseguretat de l'organització, per assegurar els seus recursos i donar compliment a la legislació vigent, redacta amb l'ajuda del futur CSO la Política de Seguretat.

Aquesta estableix de forma més o menys genèrica la missió del departament de seguretat, els recursos organitzatius de que disposarà, el seu organigrama intern, el seu encaix amb l'organigrama general, etc.

D'aquesta forma neix el departament de ciberseguretat de l'organització i, en estar signat pel CEO i estar establert al organigrama general, queda dotat de autoritat per realitzar les seves funcions i obligacions.

Dins d'aquesta Política de Seguretat s'establiran:

Objectius i missió
De forma poc tècnica i relativament concreta, quins objectius en la matèria es volen assolir i quines són les prioritats.
Estructura interna
Organigrama intern, estructura de càrrecs, recursos humans.
Estructura externa
Encaix en l'organigrama de l'organització, normalment independent i penjant directament de la Direcció.
Comunicacions
Defineix a qui ha de reportar, quina informació cal que reporti i com ho ha de fer. També defineix quines comunicacions ha de rebre, de quí i com.
Recursos econòmics
Assignació econòmica per poder operar.

A partir d'aquí és el propi Responsable de Seguretat (CSO) que agafa les regnes i desenvolupa les polítiques que donen concreció i resposta als objectius expressats en la política de seguretat.

Aquestes polítiques poden ser per exemple:

  • Política de mitjans d'emmagatzematge.
  • Política de còpies de seguretat.
  • Política de contrasenyes.

També pot generar noves polítiques per crear subdepartaments o subequips que responguin a aspectes o requeriments concrets de la política de seguretat. Per exemple, i el cas que ens pertoca en aquest mòdul, una política de resposta a incidents que esdevingui un subdepartament dintre de ciberseguretat.

Un cop aprovades aquestes polítiques (per part del CSO, ja no cal CEO) son comunicades als membres de l'organització per al seu compliment.

A partir d'aquí aquestes polítiques entren en un cicle de millora continuada per al seu manteniment i millora. Per tant, i resumint:

  1. S'estableix la Política de seguretat per part del CEO.
  2. El CSO estableix polítiques de seguretat per donar resposta als objectius i creant subdepartaments si cal.
  3. S'implanten les polítiques.
  4. Es realitzen auditories.
  5. S'analitzen els resultats i es modifiquen les polítiques en conseqüència.
  6. Es tornen a implementar el canvis i modificacions (pas 3) entrant en bucle.

Data: 2021-07-28 dc. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-07-29 dj. 09:56