Resumen. El presente documento
analizará la implantación de un Sistema de Gestión de Seguridad de la
Información basado en el estándar ISO 17799:2000, en la Administración
Nacional de Telecomunicaciones de Uruguay (ANTEL) y sus subsidiarias.
INTRODUCCIÓN
ANTEL es una Empresa de propiedad estatal, líder en
todas las líneas de mercado de las Telecomunicaciones en nuestro país,
con una facturación anual de más de quinientos millones de dólares,
distinguida en la mayor parte de las encuestas de opinión como la
mejor Empresa nacional pública o privada.
Además de soportar la provisión de servicios de
telefonía fija, celular y datos, desarrolla importantes actividades en
TI, promoviendo el portal del Estado Uruguayo, y proyectos de
educación en telecomunicaciones e informática en más de 1000 locales
educativos distribuidos en Uruguay.
El proyecto que se analizará ha sido denominado
“Programa de Seguridad de la Información de ANTEL” el cual se realizó
en sus fases iniciales con la asesoría de la firma
PricewaterhouseCoopers, y ha sido clasificado
como caso de éxito mundial por dicha consultora, incluyendo las
acciones subsiguientes que la Gerencia de
Seguridad de la Información de ANTEL ha adoptado, y los objetivos
principales a los que se ha arribado.
DESCRIPCIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE ANTEL Y
SUBSIDIARIAS
La Administración Nacional de Telecomunicaciones
dispone de una infraestructura en Tecnología de la Información
compleja y cambiante, con múltiples plataformas con alta cantidad de
interconexiones debido a los tipos de servicios que la empresa brinda.
Los intercambios de información entre los diferentes sistemas
soportados por las mismas, son en ocasiones claves para la
continuidad del negocio, y deben tener disponibilidad continua,
debiendo asegurar la integridad y la confidencialidad.
La empresa ha ido creciendo en base a conocimiento
especializado, existiendo 8 empresas subsidiarias y/o Divisiones
diferentes en la organización que utilizan en forma intensiva
servicios y sistemas informáticos. A modo de ejemplo se dispone de dos
Mainframes, Equipos AS/400, más de 200 servidores sobre diferentes
Sistemas Operativos, 60 Centrales digitales especializadas para
telefonía celular y fija, equipos para soportar la
infraestructura del mayor ISP de nuestro país, etc.
Se puede visualizar el impacto de la empresa y sus servicios en la
comunidad nacional visitando su sitio web: www.antel.com.uy
ANTECEDENTES
En ANTEL la decisión de implementar el Programa de Seguridad de la
Información respondió a dos causas:
1. La Dirección necesitaba disponer de mayor
gobernabilidad de las distintas Divisiones Tecnológicas de operación
y,
2. Las Divisiones Operacionales, cuando ocurrían
incidentes de seguridad relevantes, tomaban conciencia de la necesidad
de establecer dicho programa para disponer de una mayor capacidad y
efectividad de respuesta frente a los incidentes.
DESARROLLO DEL PROGRAMA PARA LA IMPLANTACIÓN DEL SGSI
Los trabajos previos comenzaron “conociendo la
Empresa” a través de la identificación de los Componentes del Sistema
de Información los cuales servirían como base para el desarrollo del
Programa de Seguridad en la misma. Esta
tarea se realizó bajo un enfoque del tipo “top-down”, en el cual se
comenzaba con entrevistas al máximo responsable quien derivaba en
subalternos las preguntas más específicas. El proceso requirió de más
de 50 reuniones técnicas y gerenciales con diferentes actores de la
empresa.
En etapas y mediante el relevamiento de diferentes
tipos de información manejada por las distintas Divisiones de ANTEL se
identificó:
- Sistema Crítico de Información
- Procesos e iniciativas del negocio
- Matriz de tecnologías y estrategias, indicando aspectos
específicos de seguridad derivados de cada tecnología
- Lista de principales amenazas, riesgos y debilidades detectados
(a nivel de negocios)
- Lista de principales amenazas, riesgos y debilidades detectados
(inherentes a la estrategia tecnológica)
- Matriz de riesgos
Un tema que no se resolvió en ésta etapa, con el
objeto de bajar la complejidad al relevamiento fue determinar en forma
biunívoca el responsable de cada activo. Esto llevó a la necesidad de
asignarlo luego, lo que provocó algunas conductas reactivas en las
Gerencias Operativas.
De cada una de estas etapas se obtuvieron una serie de documentos
para la aprobación del Directorio:
- Misión de ANTEL en relación a la seguridad
- Sistema de Información Crítico
- Clasificación de la Información
- Modelo de Seguridad
- Áreas de Riesgo
De esta forma y con la primer versión del documento
de Políticas de Seguridad de la Información preparado y aprobado por
el Directorio, daba comienzo la siguiente fase del Programa de
Seguridad de la Información.
La estrategia para el desarrollo de la fase y liderar el proceso de
cambio se basó en cuatro vías principales:
1º Definir las Políticas de Seguridad de la Información según las
normas ISO 17799:2000, con su correspondiente aprobación por parte del
Directorio.
2º Constituir un Equipo multidisciplinario de mayor
alcance, que oficie de “centro neurológico” y tenga como cometido
inicial, autorizar todas las interconexiones que se necesiten entre
las distintas plataformas de los servicios y redes, así como asesorar
en soluciones tecnológicas que permitan integrar las mejores prácticas
disponibles. Este equipo denominado Conysec, ha subsistido hasta el
presente, según lo exigido en la norma BS-7799:2.
3º Generar un Plan de Divulgación, Capacitación y Entrenamiento de
amplio alcance.
4º Desarrollar un tablero de control del Sistema de Gestión de
Seguridad de la Información.
Toda la programación de la estrategia descripta se
realizó siguiendo la metodología de proyectos de PMI (Project
Management Institute), y bibliografía asociada.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
El disponer de un grupo de Políticas aprobadas por
el Directorio se reconocía como un paso principal para brindar
dirección y alineamiento de los distintos actores, brindando
legitimidad al Equipo de Seguridad para dirigir los esfuerzos de
estandarización en temas de Seguridad de la Información.
Analizadas las diferentes posibilidades, se decidió
proponer como Políticas de Seguridad de la Información las más
exigentes posibles a cumplir, bajo un estudio detallado de
costo-beneficio. Se era conciente de que esta
propuesta provocaría una importante brecha (GAP) entre la
situación inicial y la deseada descripta por las Políticas a ser
adoptadas.
Luego de ser evaluadas por múltiples Divisiones y
con el aval de la División Letrada, se logra la aprobación de las
Políticas de Seguridad de la Información para ANTEL por parte del
Directorio de ANTEL, el 4 de noviembre de
2004.
Es un documento extenso de aproximadamente 90
páginas con un profundo nivel de detalle de las mejores practicas en
securitización de los diferentes ambientes de TI, manejando todos los
aspectos habituales de la citada norma.
La Gerencia de Seguridad de la Información ha
diseñado y puesto en marcha desde enero 2006, un Sistema de Control
del Sistema de Gestión de Seguridad de la Información, el cual se
encarga de controlar, difundir y evaluar en forma continua el avance
de las actividades sobre cuatro dimensiones:
1. Cumplimiento de Cronograma de Proyectos de Seguridad de la
Información
2. Cumplimiento del Cronograma de Desarrollo de Procedimientos de
Seguridad Corporativa
3. Cumplimiento del Plan de Auditoria de Sistemas de Información de
ANTEL.
4. Cumplimiento de indicadores de tiempo de respuesta y cantidad de
consultas de Seguridad de la Información.
Para responder a estas necesidades se han desarrollado dos Equipos
multidivisionales:
-
CONYSEC: La definición de este equipo técnico
multidisciplinario, nació con la idea de disponer de un punto de
entrada a la Gerencia de Seguridad de la Información de
requerimientos de conectividad entre redes y sistemas, así como de
un grupo consultivo que realice el análisis y recomendación basado
en las mejores practicas disponibles para dicha conectividad.
- CSIRT: Centro de Respuesta a Incidentes Informáticos y de
Telecomunicaciones de ANTEL.
Estos equipos proveen interacción, proactiva (Conysec),
y reactiva (CSIRT), que junto con las auditorias, el sistema de
atención de consultas, el plan de capacitación y las recomendaciones
de Seguridad de la Unidad de Seguridad Procedimental constituyen redes
de comunicación valuadas como muy efectivas.
CONCLUSION
Si bien la implementación del Programa de Seguridad
de la Información, es un proceso a largo plazo que se va construyendo
y modelando, se considera el avance del programa por demás
satisfactorio, en términos de eficacia ya que el mismo ha tenido
logros mucho mayores que los objetivos trazados en las planificaciones
iniciales. Ha impactado favorablemente en el tiempo de recuperación de
problemas informáticos, y se están realizando múltiples cambios hacia
una mayor securitización en los proyectos que impulsan las distintas
Divisiones de la Administración.
Eduardo Carozo Blumsztein
Mgt. Cis.
Gerente de Seguridad de la Información
ANTEL
|