La seguridad en los Data Center’s, diseño e implementacion

Utilizando las mejores practicas

Autor: Miguel Arturo Isaza Villar
Esp. Seguridad Informática

Abstract—The Data centers handle all kinds of information within an organization, whether public information, private and / or confidential, these places are highly critical and complex, it is necessary to use best practices in the design, construction and operation thereof for reduce the risks to which they are exposed

I.      Introduccion

En este documento, nos introduciremos en el mundo de los data centers, analizaremos los diferentes estándares y mejores prácticas aplicadas a su diseño, construcción y la implementación de los mismos, así como los controles necesarios para gestionar de forma segura los recursos de información que estos almacenan y procesan.

II.    DEFINICIONES

A.    Data Centers (Centros de computo)

Un Data center, centro de cómputo o centro de procesamiento de datos, (CDP) es un área donde se almacenan y/o procesan de forma centralizada los datos de una Organización, estos datos al interactuar con sistemas y personas generan información.

B.    Informacion

La información, es el activo más importante que tiene una Organización, a esta información se le deben guardar los principios de integridad, confidencialidad y disponibilidad, los Data Centers son por lo tanto los activos que procesan y almacenan los activos intangibles de las empresas, los cuales son por su condición, objeto constante de ataques.

C.    ESTANDAR (Norma)

Son las condiciones mínimas aceptables que determina una industria para garantizar un adecuado funcionamiento de un sistema, un estándar puede o no ser obligatorio dependiendo de la regulación del país donde se implemente.

III.   Estandares, normas y mejores practicas aplicados A data centers

Debido a la complejidad que hay en la creación de un Data Center, se han creado muchos estándares que aplican a las diferentes fases, estos estándares van desde el diseño, pasando por la construcción, la implementación y la operación de un Data Center. En este documento vamos a repasar los principales estándares que podemos aplicar para garantizar las condiciones mínimas  requeridas utilizando las mejores prácticas.

A continuación los principales estándares que aplican a los Data centers en sus diferentes etapas dentro del ciclo de vida.

A.    ANSI / BICSI 002

Óptimas prácticas de diseño e implementación del centro de datos [1]. Esta norma es considerada la norma base para el diseño de Data Center a nivel mundial, dentro de este estándar se encuentran recomendaciones como la Evaluación del Sitio donde se va a construir el data center, en esta fase se dan las especificaciones que se deben tener en cuenta a la hora de seleccionar el sitio adecuada para iniciar con el pie derecho una construcción de centros de cómputos, en esta fase se recomienda hacer un análisis de riesgos no menor a 6 meses para emprender con este tipo de proyectos.

Los siguientes elementos los podemos encontrar en este estándar

·         Evaluación de costos

·         Peligros naturales, de entorno y humanos

·         Acceso y ubicación del sitio

·         Servicios de utilidad

·         Regulación, entre otros

Otros elementos incorporados en este estándar son:

Planificación de los espacios del Data center, aspectos arquitectónicos, estructurales, eléctricos, mecánicos, protección contra incendio, seguridad, administración, infraestructura, tecnología de la información, entre otros.

En la versión 2014 ha sido ampliada y se incorporan los siguientes elementos:

·         La estructura de clase de disponibilidad de BICSI para todos los aspectos importantes de centros de datos

·         Centros de datos modulares y de "contenedor"

·         DCIM y sistemas del edificio

·         Alimentación de CC

·         Pasillos calientes y fríos

·         Arquitectura de centros de datos múltiples y externalización de servicios de centro de datos

·         Eficiencia energética 

B.    ISO 27000

Norma publicada por la Organización Internacional de la Estandarización (ISO), la misma corresponde a las mejores prácticas utilizadas para la implementación de sistemas de gestión de la seguridad de la Información (SGSI). Esta norma cuenta con una estructura completa de estándares, los cuales tienen más de 10 años siendo los referentes como las buenas prácticas en gestión de seguridad de la información.

Dentro de sus distribuciones encontramos los siguientes:

·         ISO 27001, es el marco general, donde se especifican los requisitos que una empresa debe cumplir a la hora de implementar un sistema de gestión

·         ISO 27002, se especifican los objetivos de control y los controles que se deben tener en cuenta a la hora de implementar un sistema de gestión

·         ISO 27003, son las directrices que se deben seguir en la implementación

·         ISO 27004, son las métricas que se deben tener en cuenta para la gestión de la seguridad

·         ISO 27005, gestión de riesgos

·         ISO 27006, requisitos para la acreditación de un SGSI

·         ISO 27007, guía para auditar un SGSI

·         ISO 27799, guía para implementar ISO 27002 en la industria de la salud

·         ISO 27035, gestión de incidentes

 Un data center debe ser un recinto que cumpla con todos los requerimientos de diseño estructural que revisamos en el estándar BICSI 002, pero la gestión y operación de este tipo de recintos se debe realizar basados en un estándar como ISO27k, en este documento bien podríamos hablar de la aplicabilidad de todos y cada una de las normas anteriormente descritas, sin embargo nos enfocaremos en los controles de la norma ISO 27002. Esta norma en su última versión tiene 14 dominios y 114 objetivos de control, sin embargo no necesariamente todos los dominios de esta norma tienen que ser aplicados (todo depende de la declaración de aplicabilidad), a continuación listaremos los dominios que como mínimo debiéramos tener incluidos:

·         A.6 Organización de la SI, el objetivo de este dominio es definir los roles y las responsabilidades, este dominio podría alinearse fácilmente con BICSI 002-2014

·         A.8 Gestión de activos, en un data center es muy importante tener una eficiente gestión de los activos, esta es la base para analizar riesgos asociados y para gestionar los mantenimientos de los sistemas.

·         A.9 Control de acceso, debe de haber una política de control de acceso tanto a las áreas físicas del data center como a los servicios que este presta dentro de la organización

·         A.11 Seguridad física y del entorno, este es el dominio en el que podemos interactuar con la mayoría de los estándares que en este documento mencionamos ya que se aplican conceptos de ANSI 002, en la parte de áreas seguras, TIA 942 en la seguridad del cableado y suministros, ASHRAE en la parte de refrigeración y NFPA 75, en la parte controles de incendio.

·         A.12 Seguridad de operaciones, en un data center hay que hacer gestión de las capacidades de los sistemas, debe de haber gestión de código malicioso, gestión de ambientes, gestión de copias, registro y seguimiento, auditoria, entre otras, este punto se puede complementar con BICSI 002.

·         A.13 Seguridad de redes, es muy importante tener una correcta gestión de las redes tanto físicas (entrada salida) como lógicas

·         A.16 Gestión de incidentes de seguridad, un data center bien operado, debe hacer correcta gestión de incidentes para reducir las probabilidades de los riesgos asociados

·         A.17 Continuidad del negocio, es importante que los centros de cómputo tengan adecuados respaldos y un plan a seguir si se consolida una amenaza, la redundancia en este aspecto es muy importante, las certificaciones TIER I, II, III y IV, dan unos esquemas de redundancia de acuerdo a la necesidad de cada negocio

Es muy importante contar con A.5 política de seguridad y A.18 cumplimiento, sin embargo estas dos son necesarias obligatoriamente en cualquier sistema de gestión, por lo tanto no la resaltamos en los dominios anteriores.

C.    ANSI / TIA 942

Concebido como una guía para los diseñadores e instaladores de centros de datos (Data Centers), el estándar TIA942 (2005) proporciona una serie de recomendaciones y directrices (guidelines) para la instalación de sus infraestructuras [2].

Esta norma incluye los siguientes elementos:

·         Arquitectura de red

·         Diseño eléctrico

·         Copia y almacenamiento de archivos

·         Redundancia del sistemas

·         Control de acceso a redes y seguridad

·         Gestión de bases de datos

·         Web hosting

·         Hosting de aplicaciones

·         Control ambiental

·         Protección contra riesgos físicos

·         Gestión de la energía

Dentro de la estructura de este estándar encontramos que la norma clasifica los datas centers en cuatro grupos denominadas TIER, indicando así su nivel de fiabilidad en función de la disponibilidad de los mismos, las certificaciones TIER se dan sobre los siguientes Aspectos:

·         Telecomunicaciones

·         Arquitectónicos

·         Eléctricos

·         Mecánicos

La Tabla 1, muestra los niveles de disponibilidad por cada TIER

TABLA I

Niveles (Tier)	Tipo de Data Center	Disponibilidad
TIER I	Básicos	99.671%
TIER II	Redundantes	99.741%
TIER III	Concurrentes mantenibles	99.982%
TIER IV	Tolerancia a fallos	99.995%

D.    ASHRAE

Esta es la sigla en inglés de la sociedad de Americana de Ingenieros de Calefacción, refrigeración y Aires acondicionados (Society of Heating, Refrigerating, and Air-Conditioning), esta sociedad con representación a nivel mundial, se enfoca en el diseño y construcción de sistemas de enfriamiento y refrigeración.

El estándar ASHRAE TC9.9 indica las mejores prácticas para la refrigeración de centros de cómputo, esta guía propone esquemas de refrigeración dedicada, de tal forma que los racks dentro de un centro de cómputo, reciben el tratamiento adecuado de las corrientes de aire frio y aire caliente, de esta forma se garantiza la vida útil de los equipos de telecomunicaciones y los servidores dentro de los centros de cómputo.

La guía plantea los diferentes tipos de diseños que deben ser tenidos en cuenta a la hora de mantener bien los flujos de aire dentro de un centro de cómputo, el uso de entradas de aire frio y salidas de aire caliente, y/o pasillos de aire frio y pasillos de aire caliente, los cueles deben ser libres de obstrucciones como lo son el cableado excesivo, el sobre cargue de los rack, entre otros, todos esto lo que busca es evitar interrupciones en el servicio que pongan en riesgo la integridad de los equipos en el data center.

Esta guía plantea tener en cuenta todos los elementos dentro del data center para diseñar los sistemas de flujo de aires (frio / caliente)

Este estándar se integra perfectamente con TIA42 y BICSI 002 en el diseño de data centers con buenas prácticas, además sirve como complemento a los objetivos de control del dominio A.11 de ISO 27002

E.    ITU o UIT

Es el organismo especializado de las Naciones Unidas para las Tecnologías de la Información y la Comunicación – TIC, esta organización dentro de sus estándares maneja el L.1300, que son las mejores prácticas de Green Data Center

La L.1300, se constituye como una serie de guías a utilizar para construir data centers ambientalmente sostenibles y/o a mejorar los existentes actualmente, para esto se recomienda utilizar materiales responsables con el medio ambiente y tecnologías eficientes en el consumo energético, el objetivo principal es reducir al máximo el impacto ambiental de la tecnología en el cambio climático

F.    NFPA 75 -76

Son las mejores prácticas de protección contra incendio en instalaciones de Telecomunicaciones y Data Centers

EL objetivo principal de esta norma es establecer los requisitos mínimos para garantizar la protección de los equipos de tecnología de la información, los equipos de telecomunicaciones y de las áreas donde estos operen, de daños ocasionados por fuego, humo, corrosión, calor y humedad

Esta norma establece los controles que deben de estar en los data center (NFPA 75) y en los centros de telecomunicación (NFPA 76) de esta forma se clasifican los siguientes controles

·         Detectores de humo

·         Extintores y aspersores manuales

·         Extintores automáticos

·         Materiales de los pisos

·         Materiales del techo

·         Tipo de pintura

·         Agentes químicos utilizados por los extintores

Este estándar al igual ASHRAE, lo podemos integrar con TIA 942 y BICSI como complemento a esas mejores prácticas y se puede engranar con los objetivos de control del dominio A.11 de ISO 27002

IV.   CONCLUSION

Uno de los objetivos principales de un data center, es garantizar la disponibilidad de los servicios que este soporta, en esa medida se hace necesario que utilicemos como métrica de disponibilidad el esquema TIER (I, II, III y IV) propuesto por TIA 942, al mismo tiempo es muy importante que a la hora de diseñar data centers, nos basemos en las recomendaciones y guías que nos proporciona BICSI, el análisis de riesgos actualizado es muy importante para dirigir los esfuerzos en las áreas más importantes de acuerdo a la necesidad de la organización, para eso es muy recomendable utilizar ISO 27005 o ISO 31000, dentro de la fase de diseño es muy importante incluir todas las variables de entorno que rodearan la construcción y la operación del data center.

Es muy importante también hacer una buena selección de la ubicación del sitio donde quedara alojado el centro de cómputo, de acuerdo a las recomendaciones de BICSI y TIA 942 sobre todo si se quiere alcanzar alguna certificación TIER.

En la etapa de diseño es muy importante dimensionar los controles de flujos de aire que debe tener el data center, ya que de esto, dependerá la vida útil que tengan los equipos soportadas y en operación.

Un buen diseño debe obligatoriamente incluir los controles de extinción de incendio y controles de inundación y humedad, ya que los mismos podrían ser usados para evitar que se consolide alguna amenaza ambiental o de entorno, que pueda traer consecuencias negativas para la organización en términos de dinero, imagen, operación, capacidad, competitividad, entre otros.

Los centros de datos generalmente son recintos que por las características de su operación, tienden a consumir grandes cantidades de energía, lo que se traduce en altos costos de operación y no es un uso responsable de los recursos naturales, estos comportamientos aportan grandemente al calentamiento global, por lo que se hace necesario cambiar la forma como se está consumiendo la tecnología y para esto nos puede ser muy útil ITU L.1300 en la construcción y diseño de data centers responsables con el medio ambiente.

Todas las buenas prácticas y aplicación de controles e inversiones que le hagamos a una infraestructura tecnológica, en este caso un data center, deberá ser administrada por un sistema de gestión, que nos permita medir constantemente, que los objetivos de la seguridad (integridad, confidencialidad y disponibilidad) se estén cumpliendo de acuerdo a lo planeado y los mismos estén alineados con los objetivos del negocio, y es ahí donde cobra valor un SGSI, utilizando la norma ISO 27000, la cual es capaz de integrarse perfectamente con todos los estándares y buenas prácticas de diseño, construcción y operación de data centers a nivel mundial

REFERENCIAS

[1]     https://www.bicsi.org/book_details.aspx?Book=BICSI-002SP-CM-14-v5

[2]     http://www.c3comunicaciones.es/data-center-el-estandar-tia-942/

Modelo de Implementación de un Sistema de Control de Acceso para una Organizacion

Ing. Miguel Isaza Villar

Esp. Seguridad Informática

Este documento pretende presentar un modelo de control de acceso general que cubra 360°, de forma que que se contemplen los controles físicos, lógicos y de procesos que afectan en la vida real a las organizaciones, los items a controlar son los siguientes:

1. Control de acceso físico y Control de acceso locativo 

2. Control de acceso lógico 

3. Ingeniería social 

4. Control de acceso de aplicaciones 

5. Control de acceso de bases de datos 

6. Control de acceso de redes de computadores y de comunicaciones 

7. Monitoreo del control de acceso 

8. Administración de la seguridad informática 

Antes de proceder con el modelo general aplicado, vamos darle un alcance a este modelo.

Area Fisica

Edificio de 24 pisos, cada piso tiene 250 metro cuadrados, el cual tiene lo siguiente:

1. Parqueadero subterráneo privado (solo para funcionarios de la entidad)

2. Área construida (10 metros de ancho, por 25 metros de fondo)

3. Edificio de 24 pisos

4. Escaleras y ascensores

5. En el primer piso se encuentra la recepción y las áreas de desplazamiento horizontal (escaleras y ascensores) además de un área de cableado y monitoreo

6. La fachada del edificio es en vidrio en tres de sus cuatro caras.

7. En el penúltimo piso se encuentra ubicado un centro de cómputo que procesa y almacena la información de la entidad

Img. 1, Edificio de 24 plantas

Img. 2, Parqueadero subterráneo con talanqueras

Img. 3, Recepción entrada principal con torniquetes

Img. 4, Oficinas administrativas

Img. 5, Centro de Cómputo

Cámaras de vídeo vigilancia 

Para contextualizar este ejercicio, vamos a establecer los siguientes criterios:

La empresa mueve diariamente 250 funcionarios que laboran en el edificio, además de esto la edificación recibe un promedio de 100 visitas diarias en los horarios de lunes a viernes de 8:00 am a 6:00 pm

Un inventario con los siguientes activos:

Item	Activo	Cantidad
1	Personas: Administrativas 230 Operativas 20 Directas 200 Suministradas 20 Contratistas 30	250
2	Computadores: Escritorio 200 Portatiles 30	230
3	Equipos de comunicación: Switches 24 puertos	26
4	Aplicaciones: Nomina ERP (core del negocio) CRM (comercial) Portal Web	4
5	Bases de Datos:	4
6	Sistema de archivo centralizado:	1
7	Servidores: Fisicos 5 Virtuales 25	30
8	Camaras Ip:	215

Tabla 1

1. Control de acceso físico y Control de acceso locativo 

El edificio cuenta con dos accesos al edificio, el acceso de la entrada principal, el cual está conformado por un vigilante en la entrada y dos recepcionistas encargadas de atender los visitantes del edificio, en esta recepción hay dos torniquetes los cuales son accionados por tarjetas de proximidad, las cuales se encuentran en los carnet de los funcionarios que trabajan en el edificio.

El personal visitante, tienen que registrarse en la recepción, si es por primera vez que ingresa al edificio, el mismo debe dar su nombre completo, identificación, contacto, empresa donde proviene, se debe tomar una foto de frente y una de perfil, se tomara un registro biométrico del dedo índice de la mano derecha, además de esto debe dar el nombre del funcionario al que va a visitar, el tiempo de la visita y si necesita acceso a internet.

Cuando el visitante ya está registrado, solo tiene que dar el nombre del funcionario y/u oficina que va a visitar, el tiempo de la visita, si necesita acceso a Internet y registrar el dedo índice de la mano derecha en el escáner biométrico.

Al momento del registro de la visita, la recepción le solicitará un documento diferente a la cedula el cual se tendrá en custodia hasta que termine la visita, al mismo tiempo se le prestará un carnet temporal el cual dá el acceso al torniquete principal, este carnet también dá acceso al ascensor, el carnet está programado para llegar únicamente al piso de la visita, de acuerdo a la información del registro

Los visitantes solo pueden acceder al edificio por la entrada principal.

En todos los pisos del edificio hay una recepcionista quien se encuentra de frente a los ascensores y escaleras y es la encargada de guiar a las visitas que acceden al piso determinado e indicarles la oficina a visitar.

Los horarios de visitas son de 8:00 am a 11:00 am y de 2:00 pm a 5:00 pm de lunes a viernes.

Al momento de recibir una visita, el funcionario debe comunicarse con la recepción principal para indicar la misma.

Todos los funcionarios del edificio, tienen un carnet de identificación, el cual contiene su información básica, datos de las oficinas a las que tiene acceso, los horarios, los funcionarios que tienen acceso al parqueadero subterráneo, tienen acceso a las talanqueras vehiculares y al ascensor subterráneo, estos son los únicos que tienen acceso a llegar a este piso.

Todas las oficinas del edificio tienen acceso biométrico y tarjeta de proximidad (carnet), es necesario el uso de estos dos controles para el respectivo acceso (estos controles no son excluyentes, los que significa que es obligatorio tener el carnet y la biometría al tiempo), las puertas de todas las oficinas tienen electro-imanes que bloquean y abren las puertas automáticamente, esta acción genera un registro de acceso centralizado en el sistema general de control de acceso

El horario de trabajo es de 7:00 am a 6:00 pm, todo funcionario que necesite trabajar después de este tiempo debe hacer las solicitud al área de seguridad física explicando cuales son las razones, esta solicitud debe estar aprobada por el jefe directo de cada funcionario.

Todos los pasillos de los pisos, oficinas y ascensores, tienen cámaras monitoreadas las 24 horas del día por el CCM (centro de control y monitoreo), el cual es el encargado de dirigir de forma centralizada la seguridad física del personal, esta área de control es la encargada del registro de visitas y empleados.

2. Control de acceso lógico

El acceso lógico está dirigida por el oficial de seguridad de la información, el cual depende directamente de la dirección general, esta área es la encargada de emitir las políticas de acceso a la información y a los sistemas de la compañía, además es la encargada de hacer monitoreo de los controles y el cumplimiento de los procedimientos establecidos.

La compañía tiene un procedimiento de acceso de terceros (ya sean contratistas, proveedores, visitantes o accionistas) en dicho procedimiento se accede a los sistemas de forma “segura”, utilizando conexión VPN, el área de seguridad informática es la encargada de velar de que los acceso solicitados para terceros cumplan con el alcance en tiempos y objetivos contractuales.

Dependiendo de las funciones de cada usuario, se le darán accesos a los sistemas de dominio (Windows), correo, aplicaciones, sistemas de archivos, impresoras, intranet, internet, teléfono, scanner, archivo central, fax entre otros

3. Ingeniería social

Los funcionarios, contratistas, proveedores de planta y accionistas, reciben capacitaciones periódicas (cada 6 meses aproximadamente) donde se le dan tips de seguridad, además se les habla de los riesgos del mal uso de la información, los peligros informáticos y se les recuerda la política de seguridad de la información de la empresa, así como los diferentes procedimientos que son de obligatorio cumplimiento.

El área de seguridad informática tiene dentro de sus políticas el uso de escritorios y pantallas limpias, el uso de trituradoras de papel, además se tiene la política de uso de contraseñas seguras, lo cual ayuda a reducir los riesgos de ingeniería social en los grupos de interés

4. Control de acceso de aplicaciones 

El área de seguridad informática, dirigida por el oficial de seguridad de la información, es la encargada de realizar el control de acceso de recursos informáticos, aplicaciones (web y de escritorio)  bases de datos, para dicho acceso cuenta con una matriz de roles y perfiles en la cual se tiene la siguiente estructura:

Tabla 2

Cada Rol se asocia a uno o varios empleados, los roles están asignados de acuerdo a las funciones desempeñadas por cada funcionario y las mismas las define el jefe directo con el dueño de cada proceso y el área de seguridad, el cuadro a continuación muestra cómo se asignas los roles a cada empleado:

Empleado	usuario	Rol
Empleado 1	usuario 1	Rol A, B y C
Empleado 2	usuario 2	Rol C
Empleado 3	usuario 3	Rol D
Empleado 4	usuario 4	Rol Z
….	…
….	…
…	…
Empleado 250	usuario n	Rol n

Tabla 3

5. Control de acceso de bases de datos

Todas las bases de datos de la organización, son accedidas por los usuarios a través de aplicaciones, ninguna base de datos es accedida a través de forma de tablas por los usuarios finales, ni por los usuarios del sistema, los usuarios administradores como el DBA, solo tienen acceso a la configuración de las bases de datos, la creación de esquemas y tablas, el acceso a la data solo es accedida a nivel de aplicaciones, tanto las actividades de los usuarios de aplicativos como los súperusuarios (DBA) es monitoreada por un sistema DAM (Database Activity Monitoring) esta actividad es realizada por el SOC (Security Operation center) contratado por el área de seguridad informática el cual opera las 24 horas del día

6. Control de acceso de redes de computadores y de comunicaciones 

Las redes y telecomunicaciones están conformadas de la siguiente manera:

Dos equipos UTM (Unified Threat Management) en alta disponibilidad que funcionan a nivel perimetral, dos Switches de core en alta disponibilidad que soportan las interfaces internas y externas, dos switches de distribución y 22 switces de edge distribuidos uno en cada piso, todos estos equipos son monitoreados desde el SOC

7. Monitoreo del control de acceso

El acceso físico es monitoreado por el área de seguridad física a través del centro de control y monitoreo CCM, esta área, opera las 215 cámaras que tiene el edificio y funciona 7x24x365, el monitoreo se realiza de forma remota y el equipo opera enlazado al sistema de control de acceso físico.

8. Administración de la seguridad informática 

La seguridad informática es operada por la dirección de seguridad de la información, liderada por el oficia de seguridad y por el comité de seguridad de la información, el área de seguridad de la información presta una labor de cumplimiento y control de las operaciones tecnológicas, de proceso y documental, donde se maneja información de la entidad.

La dirección de seguridad de la información es la encargada de velar porque se cumpla la política y los procedimientos de seguridad de la información mientras que el comité es el encargado de alinear los objetivos organizacionales con las mejores prácticas en seguridad, a continuación se describen las funciones del Oficial de seguridad y del comité de seguridad de la información:

Comité de Seguridad de la Información

El Comité de Seguridad de la Información es responsable de revisar y proponer a la alta dirección para su aprobación, los procesos y procedimientos necesarios para cumplir con la política de seguridad de la información, además hará el seguimiento a las mejora del sistema de gestión de seguridad de la información. 

Gestionar los recursos anuales destinados a cumplir con la planeación estratégica de seguridad de la información en la organización

Es responsabilidad de dicho comité definir las estrategias de capacitación en materia de seguridad de la información

Representantes del Comité:

El comité debe estar conformado por un representante de las siguientes áreas:

• Un representante del comité de gerencia (Se propone que sea el gerente financiero)

• La Dirección de Sistemas

• Un representante de la Dirección de Tesorería

• Un representante de la Dirección comercial

• Un representante de la Dirección de Seguridad Física

• Un representante de la Dirección de Gestión Humana 

• Un representante de Secretaria General (ideal que sea un abogado)

• Por último el oficial de seguridad de la información, quien se encargara de convocar y gestionar el Comité.

Oficial de Seguridad de la Información

El Oficial de Seguridad de la Información es el encargado de facilitar la administración y desarrollo de iniciativas sobre seguridad de información, provee dirección y gestión para asegurar que la información de la organización se encuentre protegida apropiadamente. Esto incluye considerar la confidencialidad, la integridad y la disponibilidad de los distintos activos de información.

Ejecuta periódicamente actividades que permiten la identificación, evaluación, mitigación, seguimiento y control de riesgos en todos los ámbitos que involucren la gestión de las tecnologías de la información y la comunicación, además tiene como rol las siguientes funciones:

• Gestionar el Plan Estratégico de Seguridad de la Información

• Revisar y evaluar periódicamente la política de seguridad y sugerir al comité de Seguridad de la Información los cambios que resulten necesarios.

• Mantener actualizadas las políticas, estándares, procedimientos y toda la documentación necesaria para el cumplimiento de la política de seguridad de la información y las certificaciones en materia de tecnología y seguridad de la información de acuerdo a la norma ISO27000.

• Preparar y monitorear el programa de difusión, concientización y uso de la seguridad para todos los funcionarios.

• Mantener las reglas de acceso a los datos y a otros recursos de Tecnología de la Información (T.I.).

• Mantener la seguridad y la confidencialidad sobre la emisión y mantenimiento de las identificaciones de usuario y contraseñas.

• Implementar un proceso de administración de incidentes de seguridad el cual permita prevenir y limitar el impacto de estos, así como la investigación de cualquier violación de seguridad y/o el monitoreo continuo de las acciones correctivas que surjan de este proceso.

• Probar la arquitectura de seguridad para evaluar la fortaleza de esta y detectar posibles amenazas

• Establecer controles que garanticen el cumplimiento de las leyes de protección de datos personales (ley 1581 de 2012) y las leyes de software legal (ley 603 de 2000) en la organización.

• Coordinar las actividades a revisar en el comité de seguridad de la información.