IT FORENSIC LTDA

NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Perfil del Oficial de Seguridad Informtica

Resumen:
En este documento se definen los requisitos mnimos y deseables, as como los objetivos, responsabilidades, misin y habilidades de la figura del Oficial de Seguridad Informtica que deber de existir en cada empresa pblica o privada. Palabras claves: Seguridad, Oficial de Seguridad, perfil del oficial de seguridad informtica.

Tabla de contenido
1 Introduccin ................................................................................................................ 1 2 Definicin ................................................................................................................... 2 3 Misin ......................................................................................................................... 2 4 Objetivos ..................................................................................................................... 2 5 Formacin ................................................................................................................... 3 6 Habilidades personales................................................................................................ 4 7 Deberes y responsabilidades ....................................................................................... 4 8 Datos autores............................................................................................................... 5

Introduccin

La falta de una figura encargada de coordinar, planear, disear y promover las actividades que tengan que ver con la parte de seguridad informtica y la red de datos genera una situacin que se ve reflejada en el crecimiento de la no disponibilidad del servicio de informacin digital as como los problemas de seguridad de la informacin que se presentan dentro de las instituciones, tales como intrusiones, robo de informacin, problemas de virus, entre otros ms, mejor conocidos como incidentes1; agregando la falta de estandarizacin de los procesos llevados en las unidades de sistemas2, as como el conocimiento de la legislacin informtica donde se tipifique los delitos informticos3. Esto ha incrementado la ignorancia de saber cules son las capacidades necesarias y suficientes
1

Estadisticas de CERT http://www.cert.org/stats/ Estadisticas CSI del FBI http://www.gocsi.com/forms/csi_survey.jhtml Estadisticas del Grupo X-Force http://www-935.ibm.com/services/us/iss/xforce/trendreports/ Iso 27001 Sistema de Gestion de Seguridad de la Informacin: http://www.iso27000.es/ Gestion de Servicios Informaticos ITIL: http://itil.osiatis.es/ Alexander Daz Garca - Autor del texto original del proyecto de ley de delitos informticos, hoy ley 1273 de 2009

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

en conocimientos, formacin y habilidades, as como las responsabilidades y deberes de la figura encargada de la seguridad en la institucin. El propsito de tener una figura denominada Oficial de Seguridad Informtica es tener a alguien al cual se pueda recurrir en caso de algn problema de seguridad, de diseo de red, de ubicacin de datos sensibles, Etc. Un encargado de difundir las alertas, as como el proponer y definir esquemas que reduzcan los incidentes de seguridad y el buen desempeo de la red de datos.

Definicin

El Oficial de seguridad informtica, es la persona responsable de planear, coordinar y administrar los procesos de seguridad informtica en una organizacin, velara por el diseo y las estrategias utilizadas para el buen desempeo de la red de datos y estar en coordinacin con el departamento de planeacin en la toma de decisiones para la adquisicin y/o renovacin de nuevas tecnologas.

Misin

El Oficial de seguridad informtica tiene la funcin de brindar los servicios de seguridad en la organizacin, a travs de la planeacin, coordinacin y administracin de los procesos de seguridad informtica, as como difundir la cultura de seguridad informtica entre todos los miembros de la organizacin. Tambin participara activamente en el diseo, adquisicin y cambios de los equipos tecnolgicos que manipulen informacin.

Objetivos
Definir la misin de seguridad informtica de la organizacin en conjunto con las autoridades de la misma basados en ISO 27001. Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad informtica en la organizacin y poder realizar la administracin de los mismos. Definir la Poltica de seguridad informtica de la organizacin. Definir los procedimientos para aplicar la Poltica de seguridad informtica. Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las polticas dentro de la misin establecida. Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a la seguridad informtica dentro de la organizacin.

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Promover la aplicacin de auditoras enfocadas a la seguridad, para evaluar las prcticas de seguridad informtica dentro de la organizacin. Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de seguridad en la organizacin. Crear un grupo de seguridad informtica en la organizacin. Definir el plan de Continuidad del Negocio. Estandarizar los procesos de la Unidad de Sistemas aplicando metodologas ITIL. Aplicar tcnicas de computo forense cuando se demuestre un delito informtico hecho al interior o desde el interior de la empresa. Permanecer en constante investigacin de nuevas tcnicas que permitan implementar estrategias que aumente la seguridad de la empresa. Disear y optimizar las soluciones tecnolgicas que permiten la transmisin de los datos garantizando la disponibilidad del servicio y la seguridad de la misma Disear, crear y promover el desarrollo tecnolgico de la empresa.

Formacin

Ingeniero de Sistemas o electrnica con Especializacion en una de los siguientes enfoques: Redes y Telecomunicaciones Auditoria de Sistemas Seguridad Informtica

Que cuente con al menos una certificacin internacional en el mbito de la Seguridad Informtica. Conocimientos, experiencia y destrezas en: Conocimientos y experiencia mnima Sistemas Operativos (Linux y Windows) nivel de usuario avanzado. Stack de TCP/IP V4 y V6 Protocolos de Comunicacin (TCP, UDP, RPC) Lenguajes de Programacin C / C++ Legislacin Experiencia mnima de 1 ao en el mbito de la seguridad informtica Conocimientos y experiencia deseable Sistemas Operativos (Linux y Windows) nivel de usuario Administrador Protocolos de Seguridad (IPSec) Herramientas de Seguridad (IDS, Enumeracin, Computo Forense, Firewall) Programacin de Sockets (Raw, Tcp, Udp) Criptografa Clsica y Moderna Mecanismos de Seguridad (Firmas Digitales, Certificados) Configuracin Avanzada de Redes (Vpn, Filtros, Vlan, Monitoreo, QoS y Control de Trafico)

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Conocimientos de Estndares y metodologas (Iso 27001, Cobit, Itil, Osstmm) Computo Forense Experiencia en el manejo de personal Experiencia de 3 aos en el mbito de la seguridad.

Habilidades personales
Caractersticas Deseables Focalizada, que se mantenga por largos periodos de tiempo. Concentracin de la atencin. Capacidad de reflexin, de anlisis y de sntesis. Habilidad para pensar creativamente. Habilidad para la toma de decisiones. Pensamiento flexible. Habilidad para organizar informacin en la memoria de corto y de largo plazo Habilidad para expresar claramente sus ideas Habilidad para comunicarse con personas no expertas y expertas en el rea. Habilidad para el trabajo independiente y autnomo. Habilidad para relacionarse con otros y para pedir ayuda cuando sea necesario. Habilidad para trabajar en equipos reales y virtuales. Trabajo colaborativo con otros expertos en el rea. Habilidad para prever y solucionar conflictos Experticia en el rea de la seguridad informtica Capacidad para detectar, aislar y resolver problemas Planeacin, Organizacin y Comunicacin

Proceso Psicolgico Atencin

Pensamiento

Memoria Comunicacin y Lenguaje

Trabajo independiente Habilidades sociales

Previsin Conocimiento Tcnicas Iniciativa

Deberes y responsabilidades

Los deberes y responsabilidades del Oficial de Seguridad Informtica deben establecerse claramente y requieren ser aprobados por la administracin y/o directivos.

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

A continuacin un listado de deberes y responsabilidades recomendados:

El Oficial de Seguridad Informtica tiene como principal responsabilidad la administracin y coordinacin diaria del proceso de Seguridad Informtica de la institucin donde labora. Tiene como responsabilidad asegurar el buen funcionamiento del proceso de Seguridad Informtica de la institucin. Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz de guiar y aconsejar a los usuarios de la institucin sobre cmo desarrollar procedimientos para la proteccin de los recursos. Una tarea clave para el Oficial de Seguridad Informtica es guiar al cuerpo directivo y a la administracin de la organizacin ante incidentes de seguridad mediante un Plan de Respuesta a Incidentes, con el fin de atender rpidamente este tipo de eventualidades. El Oficial de Seguridad Informtica es responsable de proponer y coordinar la realizacin de un anlisis de riesgos formal en seguridad de la informacin que abarque toda la organizacin. Es deber del Oficial de Seguridad Informtica el desarrollo de procedimientos de seguridad detallados que fortalezcan la poltica de seguridad informtica institucional. El Oficial de Seguridad Informtica debe ser miembro activo del grupo de investigacin en temas relacionados con la seguridad informtica y mantener contacto con los Oficiales de Seguridad Informtica de otras organizaciones, estar suscrito a listas de discusin y de avisos de seguridad. Es responsabilidad del Oficial de Seguridad Informtica promover la creacin y actualizacin de las polticas de seguridad informtica, debido al comportamiento cambiante de la tecnologa que trae consigo nuevos riesgos y amenazas. Es responsabilidad del Oficial de Seguridad Informtica la estandarizacin de los procesos de la Unidad de Sistemas. Es responsabilidad del Oficial de Seguridad Informtica el desarrollo de un Plan de Seguridad de la Informacin. El Oficial de Seguridad Informtica debe atender y responder inmediatamente las notificaciones de sospecha de un incidente de seguridad o de incidentes reales. Es responsabilidad del Oficial de Seguridad Informtica la elaboracin de un Plan de Respuesta a Incidentes de Seguridad, con la finalidad de dar una respuesta rpida, que sirva para la investigacin del evento y para la correccin del proceso mismo. Es responsabilidad del Oficial de Seguridad Informtica coordinar la realizacin peridica de auditoras a las prcticas de seguridad informtica. El Oficial de Seguridad Informtica debe ser el punto central dentro de la organizacin para la revisin de problemas de seguridad de la informacin existentes y de aquellos que se consideran potenciales.

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

El Oficial de Seguridad Informtica debe ser el punto central dentro de la organizacin para la adquisicin de tecnologas que no violen las polticas internas de seguridad de la informacin. El Oficial de Seguridad Informtica debe establecer la misin y metas internas en cuanto a la seguridad de la informacin, de acuerdo a la misin y metas organizacionales.

8 Datos autores
IT Foresic Ltda, Correo: itf@itforensic-la.com Base: basado en el documento pblico para los oficiales de seguridad de la REDCUDI4

http://seguridad.internet2.ulsa.mx/congresos/2003/cudi1/perfil_osi.pdf

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Razones para tercerizar la seguridad informtica de su empresa

Mejorar la eficiencia en los resultados y liberar recursos para reasignarlos a tareas centrales de la empresa son algunos beneficios. De acuerdo con la firma de seguridad Digiware, eventos de tanta trascendencia como la reciente muerte de Michael Jackson gener un incremento en la propagacin de virus a las distintas redes informticas en el mundo en casi un 80 por ciento. Situacin comn en la actualidad ya que los llamados peligros informticos da tras da estn ms vigentes y se valen de estrategias como correos masivos para obtener informacin o invadir un computador. Sin embargo, segn el gerente del Security Operation Center (SOC) y Servicio al Cliente de Digiware, Fabin Zambrano, estos no son los nicos peligros de los que deben cuidarse no solo las empresas sino los mismos hogares, pues a partir del envo de informacin errada o llenar una pgina incorrecta o no autorizada con datos importantes para la persona, puede dar pie para realizar transacciones que pueden llegar a ser perjudiciales. De aqu que surja la importancia de la tercerizacin de servicios, esto es, delegar en una entidad especializada en seguridad informtica el manejo de la proteccin de las redes de la empresa, con el fin de que esta este atenta de cualquier anomala y que se pueda detectar a travs de las redes informticas.
Qu es la tercerizacin de servicios? Este principio, muy de moda en los ltimos tiempos, es contratar a otra empresa que brinde la tecnologa y capacidad humana para suplir las necesidades de la empresa contratante. "Para esto la empresa que este dispuesta a prestar los servicios de tercerizacin debe otorgarle al cliente lo qu l no puede costear en su propia empresa, que es mayor infraestructura y tecnologa y, as asegurar la calidad en el servicio", dijo Zambrano. En el caso de la empresa Digiware, que ya cuenta con respaldo en el mercado tanto nacional como internacional, es encargada de proporcionar seguridad informtica a otras empresas, otorgando una revisin permanente por medio de personal capacitado y con la plataforma tecnolgica suficiente para detectar cualquier tipo de anomala por pequea que sea. La importancia de tercerizar "Hoy en da no es raro que cualquier transaccin se haga desde un computador porttil, desde el pago de un recibo hasta el de una nmina se puede realizar por este medio, por esto, no es extrao que las empresas busquen descargar este tipo de labor en compaas que les presten un servicio eficaz y que, a la vez represente un menor esfuerzo para su servicio", asegur Zambrano. Realmente cuando iniciamos como rea de servicios encontramos que el mercado, tena el concepto de seguridad gestionada o tercerizacin de Seguridad, solamente en este mbito u operacin delegada, que se conoce muy generalmente en el mercado de redes como NOC, un centro de operacin de redes.

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

"Este es un concepto que ya lleva muchos aos en el mercado, pero en el ltimo ao hubo un gran auge en el mercado de la seguridad. Actualmente regiones como la Andina ya estn mucho ms preparadas para este tipo de problemticas" Hay que tener en cuenta que seguridad no es solamente operar plataformas tecnolgicas sino consiste en identificar y administrar riesgos que puedan atentar contra las empresas que hacen uso de grandes redes.

QU SE BUSCA AL TERCERIZAR UN SERVICIO

Aqu tres pequeas razones que le ayudaran a tener un poco de luz si usted es de los que quiere entrar en esta nueva etapa de los negocios: 1) Mejorar la eficiencia en los resultados 2) Liberar recursos para reasignarlos a tareas centrales de la empresa 3) Conectarse en el "core business"

CULES SON LOS BENEFICIOS DE LA TERCERIZACIN DE SERVICIOS?

Delegar en un ente especializado el cuidado de los sistemas refleja sus beneficios en la reduccin de costos, principalmente porque para tener todo un servicio de seguridad se necesita de infraestructura. Segn Zambrano, el valerse de un tercero, en este caso de Digiware, garantiza que al contar con varios clientes todos se distribuyen los costos y, aparte de esto, "la empresa encargada de la vigilancia, como es un ente externo, pueda tener una visin mucho ms completa y saber cuales son los posibles peligros que pueden acechar a las entidades vinculadas desde una visin mucho ms perifrica". Agreg, "puede presentarse el caso de que en de una de las empresas que estn vinculadas a Digiware se estn realizando movimientos que perjudican a otra que tambin est en el circulo, este tipo de eventualidades nosotros podemos detectarlas y advertir, obviamente siguiendo los protocolos de la empresa".

Listado ventajas o beneficios

- Enfocar su recurso humano en las labores primarias y misionales de su negocio - Tener visibilidad de todas las amenazas de seguridad de la informacin en tiempo real - Optimizar tiempos, movimientos y productividad de su recurso humano - Garantizar bajos costos de infraestructura (personal, equipos, entrenamiento) - Mantenimiento y actualizacin continua de la Infraestructura de seguridad - Alta adaptabilidad a cambios - Niveles de servicios adecuados a las necesidades especficas de su negocio - Rpidas contingencias a problemas tecnolgicos - Bases de datos de conocimientos mundiales

NUEVOS RETOS

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Ahora con el creciente auge de la Internet y, a su vez, las mltiples tareas que generan a raz de ello los retos son an mayores, segn afirm Zambrano, ahora las empresas de seguridad no pueden limitar su servicio a simple cuidado antivirus o la fuga de informacin. "Hay que estar atento a cualquier anomala, cualquier cambio que por pequeo que sea puede representar un indicio de que algo anda mal", asever. Aadi que a esto se le suma la crisis econmica mundial, lo que ha hecho que la gente necesite dinero y busque, de manera fraudulenta, conseguirlo. "esto se ve sobre todo de pases lejanos hacia Colombia, pues los que lo intentan hacer piensan que como estn en otro lugar del mundo no van a ser detectados". Cabe agregar que por esta razn se espera que aumente la inseguridad informtica en un 50 por ciento, entre el 2009 y principios del 2010 a nivel mundial, esto segn expertos de seguridad informtica tanto nacionales como internacionales.

Asistir a reuniones de otras reas para validar el nivel de seguridad de la informacin existente Apoyar al Dueo de la Informacin en la inclusin de las normas de Seguridad en los Planes de Contingencia. Mantener un estricto control del plan de desarrollo de seguridad de la informacin, informando al Oficial de Seguridad de la Informacin de desviaciones y posibles acciones correctivas. Asegurarse que los procedimientos de seguridad de la informacin estn documentados y se comuniquen efectivamente a toda la Empresa Obtener medidas de calidad segn lo definido para los procesos de Seguridad, mantener estadsticas e informar al Oficial de Seguridad de la Informacin. Coordinar las tareas del rol de Administrador de Seguridad de la Informacin Entender los requerimientos de negocios y traducirlos a especificaciones de tecnologa de informacin, para cubrir dichas necesidades Integrar distintos tipos de servicios, productos y tecnologas para satisfacer las necesidades de proteccin de los activos de informacin, con base en la Arquitectura de Seguridad de la Informacin establecida. Definir elementos tecnolgicos que ayuden a implantar las recomendaciones de las evaluaciones de riesgos realizadas, acorde con la arquitectura de Seguridad de la Informacin. Analizar el impacto tecnolgico y econmico de la implantacin de mecanismos de seguridad de la informacin Apoyar a los Dueos de la Informacin en: o La definicin de controles y su impacto en la implantacin o La definicin y revisin de los eventos a ser auditados en materia de seguridad de la informacin o Ejecucin de pruebas a los controles implantados en el desarrollo o Definicin y revisin de las alertas en materia de seguridad de la informacin y de las acciones e informacin registrada

IT FORENSIC LTDA
NIT.900.213.800-5 Principal Manizales - Carrera 23 A No. 69 A 29 Sedes: Cali y Pereira Telefax: 57 6 8904374, Celular 3122975484 Manizales, (Colombia) itf@itforensic-la.com

www.itforensic-la.com

Hacer evaluaciones de los software de seguridad de la informacin Verificar la implantacin de los estndares especficos de las plataformas Disear la solucin tecnolgica para soportar el proceso de administracin de las alertas acorde con la Arquitectura de Seguridad de la Informacin. Asesorar en materia de seguridad de la informacin tcnica a las distintas unidades o funciones.