Académique Documents
Professionnel Documents
Culture Documents
FACULTAD – INGENIERÍA
información
INTEGRANTES :
ACOSTA GONZALES, Celeste
MEZONES NOVOA, Steven
SANCHEZ VIDAL, Marita
SÁNCHEZ YLQUIMICHE, Gershon
VALDEZ YRRIBAREN, Josdy
CICLO : X
ÍNDICE
ÍNDICE ......................................................................................................... I
EL MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA
INFORMACIÓN..................................................................................... 1
1. INTRODUCCIÓN ..................................................................................... 1
Modelos ...............................................................................................................................3
Frameworks .......................................................................................................................4
Estándares ..........................................................................................................................4
Combinación de Modelos, Frameworks y Estándares ....................................5
Estado de seguridad .......................................................................................................5
Los resultados de seguridad de la información .................................................7
2. MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA INFORMACIÓN ..... 9
Elementos BMIS ............................................................................................................ 10
Organización ...................................................................................... 10
Proceso .............................................................................................. 18
Tecnología ......................................................................................... 20
Personas ............................................................................................ 21
Interconexiones dinámicas BMIS .......................................................................... 23
Gobernante ....................................................................................... 24
Cultura ............................................................................................... 27
Arquitectura ...................................................................................... 35
Activación y Apoyo ............................................................................ 42
Emerger ............................................................................................. 51
Factores Humanos ............................................................................. 53
3. Usando BMIS ....................................................................................... 60
En balance: Analizando el programa de seguridad existente......................... 61
Leyes y regulaciones ............................................................................ 62
I Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
Gobierno Corporativo .......................................................................... 63
Cumplimiento de seguridad ................................................................. 64
Otros componentes del programa de seguridad ................................... 64
Poblando BMIS: Medidas de seguridad existentes y soluciones ................... 65
Recopilación de información ................................................................ 65
Integrando soluciones individuales ...................................................... 66
Integrando soluciones administradas................................................... 71
Alineación de estándares y marcos para BMIS .................................................... 73
Gestión de seguridad de la información ............................................... 73
Gestión general de TI .................................................................................................... 75
Diagnóstico BMIS: Identificación de fortalezas y debilidades ........................ 76
Análisis Situacional.............................................................................. 76
Análisis de causa raíz........................................................................... 79
Configuración BMIS en Movimiento: Mejora del trayecto.............................. 83
Conversando procesos de seguridad en subsistemas de seguridad........ 84
Acciones y pasos de mejora ................................................................. 86
Aprovechando la dinámica del sistema ................................................ 89
Conclusión......................................................................................................................... 90
II Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
1. INTRODUCCIÓN
En enero de 2009, ISACA presentó a la comunidad de seguridad al Modelo comercial
para la seguridad de la información. La publicación ofreció a los profesionales de la
seguridad una mirada hacia un nuevo enfoque para una gestión efectiva de la seguridad
de la información. BMIS se centra en el entorno empresarial dentro del cual la seguridad
de la información opera entre otros procesos comerciales. Este enfoque particular
proporciona una visión más amplia de los procesos y sistemas que impulsan el valor
dentro de la empresa que impactan o se ven afectados por la seguridad de la
información.
Como una profesión relativamente joven, la seguridad de la información ha tenido
dificultades para cumplir los objetivos comerciales en un entorno de riesgo rápidamente
cambiante. Aunque los profesionales de la seguridad han logrado mantener a raya
muchos ataques potenciales, ha habido varias brechas de seguridad costosa y bien
publicitada que han causado que algunos se pregunten cuán efectivos son los programas
de seguridad de la información. Desde una perspectiva empresarial, los objetivos
principales de cualquier empresa suelen estar muy alejados del mundo técnico de TI y
la seguridad de la información. Para cerrar la brecha entre lo que hace la empresa y
cómo esto es respaldado por una sólida seguridad, BMIS realinea el contenido técnico
con el pensamiento empresarial y un punto de vista estratégico.
Para ser justos, los profesionales de seguridad de la información han hecho un trabajo
encomiable dados los pocos recursos disponibles. Los presupuestos bajos, el personal
limitada y el acceso restringido al apoyo ejecutivo son obstáculos comunes que
enfrentan los profesionales de la seguridad de la información al tratar de proteger los
activos de información, minimizar los riesgos y ofrecer valor al negocio. Agregue a esto
un entorno regulatorio continuamente cambiante y constantemente surjan nuevos
riesgos y es fácil ver por qué la seguridad de la información ha tenido dificultades para
sobrevivir como una función. Estos obstáculos en el trabajo de seguridad del día a día
muchas veces fruto de un malentendido fundamental. Aunque los líderes de la
organización son conscientes de los riesgos y están dispuestos a abordar los riesgos de
manera práctica, la complejidad de la seguridad de la información requiere habilidades
y conocimientos específicos. En la mayoría de los casos, los expertos en seguridad
encuentran difícil articular el valor que la seguridad de la información puede aportar al
negocio garantizando que los recursos de información no solo estén protegidos de
aquellos que no deberían tener acceso a ellos, sino también que la información esté
disponible y sea precisa para aquellos, quien debería tener acceso. BMIS proporciona el
marco y la mentalidad para estructurar las comunicaciones entre la alta gerencia y los
profesionales de la seguridad.
1 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
2 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Modelos
Si bien hay muchas definiciones para la palabra 'modelo', todas describen la imitación o
la representación de una manera u otra. Una definición que se utiliza a menudo para los
modelos teóricos es "Una descripción esquemática de un sistema, teoría o fenómeno
que da cuenta de sus propiedades conocidas o deducidas y puede utilizarse para un
estudio más profundo de sus características". Se puede pensar en un modelo como una
descripción teórica de la forma en que funciona un sistema. Sin embargo, a menudo
debe simplificarse hasta cierto punto para ser útil en la práctica.
En general, los modelos deben ser flexibles para satisfacer las necesidades del mundo
de los negocios. Necesitan ser probados a veces para asegurarse de que todavía son
aplicables y que se ajusten al propósito previsto, y deben incorporar cambios en los
sistemas y las empresas en las que existen. Es importante recordar que los modelos son
descriptivos, pero no normativos. Por lo tanto, un modelo de seguridad general como
BMIS debe ser la base de todos los estándares y Frameworks aplicados en el campo de
la seguridad de la información. Al mismo tiempo, BMIS debe ser capaz de acomodar
cambios rápidamente y destacar las consecuencias para la empresa.
Los modelos a menudo son utilizados por las empresas para fomentar la innovación y
maximizar el valor generado a través de la innovación o el cambio. Se pueden usar
dentro de una empresa para traducir la estrategia y la misión en conceptos y pasos que
se aplican a procesos o entidades de la organización. Los modelos pueden ayudar a
definir un objetivo y crear el plan para llegar allí. Empresas como IBM, Xerox y Fujitsu
han utilizado modelos durante años para mejorar las cadenas de valor. De hecho, en un
plan de negocios, el modelo puede ser más rentable para la empresa que la tecnología
misma. Un ejemplo es el plan operativo para la copiadora Xerox 914.
Xerox había creado una nueva tecnología que era superior a otros productos de copia,
pero era de seis a siete veces más costosa que la competencia. Después de ser rechazado
por grandes empresas por asociaciones de comercialización, Xerox decidió comercializar
la tecnología con un nuevo modelo de negocio. En lugar de vender productos y confiar
en el servicio para obtener ganancias, Xerox alquiló el equipo a los clientes y luego cobró
una tarifa por copia de más de 2.000 copias.
3 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Así como el modelo comercial impulsó a Xerox al extraer valor económico para la
empresa a través de tecnología innovadora, BMIS crea oportunidades para que el
programa de seguridad de la información se establezca como un habilitador empresarial
sólido al considerar el impacto de la seguridad en el negocio.
Frameworks
Los Frameworks proporcionan estructura. Se los puede considerar como el sistema
esquelético sobre el que se puede construir el cuerpo de un programa de sonido. En
general, los Frameworks son de naturaleza operativa y proporcionan una descripción
detallada de cómo implementar, crear o administrar un programa o proceso. Los
Frameworks generalmente están basados en principios y abiertos a la mejora continua.
Como resultado, los Frameworks generalmente se basan en estándares subsidiarios
para 'hacerlo realidad', y se complementan con guías de implementación y otros
documentos detallados.
Los Frameworks son herramientas indispensables que pueden ayudar a los gerentes de
seguridad a desarrollar e implementar un sólido programa de seguridad y garantizar su
éxito continuo mediante el monitoreo. Los Frameworks son muy detallados y
proporcionan acciones recomendadas específicas que han demostrado ser útiles para
muchos gerentes de seguridad que crean un programa. Aunque no hay Frameworks
dedicados a la seguridad de la información en este momento, existen muchos
Frameworks de riesgo que pueden ser de utilidad. OCTAVE® es un Framework de riesgo.
COBIT5 y el Framework Integrado de Control Interno son ejemplos de poderosos
Frameworks que cubren la gobernanza y la gestión de TI que pueden ser útiles al crear
y mantener un programa de seguridad. ITIL® también define un proceso de
administración de seguridad basado en el código de práctica definido en ISO 27002.
Además, el Framework de TI de riesgo de ISACA, es un Framework integral para
administrar los riesgos relacionados con TI. A diferencia de los modelos discutidos
previamente, los Frameworks generalmente son normativos más que descriptivos.
Estándares
De acuerdo con el Instituto Británico de Estándares (BSI), un estándar es una “Forma
acordada y repetible de hacer algo. Es un documento publicado que contiene
especificaciones técnicas u otros criterios precisos diseñados para usarse de manera
consistente como una regla, una guía o una definición”. Una definición adicional indica
que un estándar es una base para la comparación; un punto de referencia contra el cual
se pueden evaluar otras cosas.
Estas definiciones se alinean con la forma en que se ven los estándares en la comunidad
de seguridad de la información: brindando a los profesionales de la seguridad de la
información un sentido de dirección y una forma de evaluar comparativamente el
progreso de una empresa hacia las mejores prácticas.
4 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Estado de seguridad
Los cambios en la tecnología, las redes globales y el uso generalizado de la tecnología de
la información han elevado la necesidad de una gestión eficaz del riesgo de la
información. A medida que las empresas se esfuerzan por mantener la rentabilidad, los
ejecutivos han reconocido que las brechas de seguridad de información pueden ser una
seria amenaza para la marca y la imagen de la empresa. Los profesionales de la
seguridad de la información se encuentran en una situación única: se han convertido en
responsables de uno de los activos más importantes de la empresa y pueden demostrar
valor para la empresa alineando el programa de seguridad con los objetivos
empresariales y gestionando el riesgo para los activos de información.
5 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
En los últimos 10 años, se han producido numerosos problemas que afectan la seguridad
de la información. Entre estos se encuentran regulaciones como Basilea II, la Ley de
portabilidad y responsabilidad del seguro médico de los EE. UU. (HIPAA) y la Ley
Sarbanes-Oxley de EE. UU.; aumento de las amenazas internas; tecnologías emergentes;
y aumento de las amenazas externas. En respuesta, la protección de la información no
ha mejorado, al menos estadísticamente hablando. En 2005, un grupo de personas
comenzó a recopilar datos sobre infracciones de seguridad en los Estados Unidos y
publicarlos en línea en www.privacyrights.org. Con pocas excepciones, las estadísticas
demuestran un patrón alarmante de mayor pérdida de datos. Cada año, de 2005 a 2008,
el número de violaciones de datos aumentó: 157 en 2005, 321 en 2006, 446 en 2007 y
656 en 2008. El costo que las empresas están incurriendo debido a estas infracciones
también está en aumento.
Como se menciona en el Resumen ejecutivo y en la Figura 1, el Instituto Ponemon realiza
un estudio anual sobre el costo de las infracciones de seguridad. El costo ha aumentado
consistentemente en los últimos cinco años. En 2005, el estudio reveló que el costo
promedio (costos directos e indirectos) para una empresa era de aproximadamente US
$ 138 por incidente. Los resultados de 2010 muestran que en 2009, ese costo había
aumentado a aproximadamente US $ 204 por incidente.
Este aumento en el costo y la frecuencia de las infracciones es significativo porque,
durante ese mismo período, la seguridad de la información ha experimentado
importantes avances. Tecnologías como firewalls, sistemas de detección de intrusos
(IDS), sistemas de prevención de intrusos (IPS), prevención de fugas de datos, control de
punto final, enrutadores, conmutadores y otros componentes como la gestión de
identidad y acceso (IAM) se han creado o mejorado para permitir una mejor seguridad.
La legislación se ha incrementado exponencialmente, atrayendo la atención hacia los
activos de información. El crimen, el terrorismo y los desastres naturales han puesto de
manifiesto la necesidad de mejorar la protección de la información. La poderosa
combinación de innovación técnica, el aumento de la conciencia de los ejecutivos y el
aumento de los recursos han sido paralelo al aumento de las amenazas, los riesgos y las
violaciones de éxito. La seguridad simplemente no ha demostrado la mejora que se
espera que se correlacione con el crecimiento que ha experimentado la profesión.
Uno podría pensar que, con la introducción de tecnología de seguridad avanzada, un
mayor enfoque regulatorio e incentivos para que las empresas inviertan en la protección
de la información, los incidentes de seguridad serían raros. Sin embargo, la verdad es
que incluso con los avances que se están realizando, aún ocurren incidentes de
seguridad. La información privada aún está comprometida. Los incidentes internos y el
fraude se informan con demasiada frecuencia. ¿Por qué la seguridad de la información
no está mejorando a pasos agigantados? Una respuesta es que los profesionales de
seguridad de la información continúan encontrándose reaccionando a los problemas
dentro de la empresa en lugar de tomar una postura proactiva. Este constante combate
de incendios deja poco tiempo para la innovación, el pensamiento estratégico y la
6 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
7 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Desde una perspectiva de gobierno, hay seis resultados principales que el programa de
seguridad debería trabajar para lograr. En su publicación en el gobierno de la seguridad
de la información, ISACA define estos resultados como:
Alineación estratégica
Gestión de riesgos
Entrega de valor
Administración de recursos
Gestión del rendimiento
Integración del proceso de aseguramiento
Hay una serie de indicadores para la integración de diversas funciones relacionadas con
la seguridad. Lo más importante, no debe haber huecos en el nivel de protección de la
información de activos. Las superposiciones en áreas de planificación o gestión de
seguridad deben minimizarse. Otro indicador es el nivel de integración de las actividades
de seguridad de la información con la seguridad. Los roles y responsabilidades deberían
estar claramente definidos para funciones específicas. Esto incluye las relaciones entre
varios proveedores internos y externos de garantía de la información. Todas las
funciones de aseguramiento deben ser identificadas y consideradas en la estrategia
organizacional general.
8 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
9 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
pero no uno que cambia con el tiempo. La naturaleza humana persistirá, y solo a través
del cambio cultural los comportamientos se adaptarán a lo que el programa de
seguridad pretende lograr.
Los DIs son:
Cultura
Gobernando
Arquitectura
Aparición
Habilitación y soporte
Factores humanos
Para obtener el valor máximo de este modelo, es importante comprender que estas DI
pueden verse afectadas directa o indirectamente por los cambios impuestos a
cualquiera de los otros componentes dentro del modelo, no solo a los dos elementos en
cada extremo. Las descripciones de las interconexiones específicas en esta publicación
reconocen este hecho y proporcionan ejemplos de cómo los cambios en otros
componentes del modelo pueden afectarlos.
Elementos BMIS
Organización
El elemento Organización, que se muestra en la figura 3, es un componente importante
de BMIS. Cabe señalar que el diseño general de la empresa es una parte de este
elemento, mientras que la estrategia es un prerrequisito general que influye en el
elemento de la Organización. Muchos enfoques tradicionales para la seguridad de la
información se centran en los puntos de vista de Seguridad, Personas, Procesos y
Tecnología, pero no examinan a la empresa como un todo. Cubren aspectos específicos
de dificultades y problemas observados, sin incluir otros aspectos de la empresa en
general que pueden haber contribuido a estas observaciones. Estos enfoques aislados a
menudo se centran en la tecnología o los procesos, pero sin una comprensión de las
fuerzas circundantes que podrían neutralizar el esfuerzo. BMIS proporciona una visión
de cómo el diseño y la estrategia de la empresa afectan a las personas, los procesos y
las tecnologías, lo que resulta en riesgos adicionales, oportunidades y áreas de mejora.
Establece además un vínculo claro entre las medidas de seguridad tradicionales y la
empresa, incluida su influencia en términos de diseño y estrategia
10 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
BMIS acepta la definición de Organización como una red de personas que interactúan,
utilizando procesos para canalizar esta interacción. Dentro del círculo primario de la
organización del modelo, hay empleados y otros asociados permanentes. BMIS también
se vincula con socios externos, proveedores de terceros, consultores, clientes y otras
partes interesadas. Todas estas relaciones internas y externas establecen el escenario
para la efectividad operacional y, en última instancia, el éxito y la sostenibilidad de la
empresa.
Al más alto nivel, la perspectiva adoptada por la alta gerencia es intuitivamente
sistémica. La organización se ve como un conjunto de componentes que admite un
conjunto de objetivos comunes. Estos, a su vez, son formulados, revisitados y
comunicados por el nivel organizacional más alto. En los niveles inferiores de la jerarquía
organizacional, esta perspectiva holística ya no es un hecho. Las divisiones, los
departamentos u otros silos a menudo impiden que los gerentes y los profesionales vean
el panorama general, y se pierde el punto de vista sistémico. Como parte del elemento
Organización BMIS, el programa de seguridad debe verse como un centro de valor
porque permite que la empresa alcance sus objetivos. El cumplimiento, la
responsabilidad financiera y las cuestiones legales son todos factores importantes que
influyen en la empresa. Sin embargo, deben ser vistos en el contexto de la estrategia y
los objetivos de la organización para que tengan sentido.
11 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
12 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
La organización formal
La organización formal es la estructura creada por el liderazgo empresarial e incluye
organigramas formales, políticas documentadas y directivas proporcionadas al personal.
Se complementa con la estrategia establecida por la alta gerencia. Cuando la estrategia
organizacional general reconoce la seguridad de la información como un objetivo
importante, la estructura reflejará esto en términos de diseño y personas. En la vida
cotidiana, los cambios más efectivos en la percepción de la seguridad de la información
tienden a ocurrir cuando un individuo de alto nivel a nivel de la junta asume la
responsabilidad de la seguridad y reestructura la cultura organizacional. Esto
generalmente ayuda a reducir parte de la mentalidad del silo que se acumula si la
seguridad no se ve como una prioridad estratégica. Si, y donde, el diseño y la estructura
organizativa respaldan claramente la seguridad como un objetivo prioritario, todos los
departamentos y unidades subsidiarios serán más eficientes en su trabajo para lograr
este objetivo. Una organización de seguridad bien diseñada puede mejorar aún más la
postura general de riesgo de la empresa. La visión intuitivamente sistémica adoptada
por los altos directivos evitará que surjan riesgos imprevistos en un área mientras se
intenta mitigar los riesgos en otra su visión estratégica les permite reconocer
rápidamente el intercambio entre varios riesgos relacionados con la seguridad.
La organización formal es un elemento importante para cualquier empresa. En términos
de seguridad de la información, generalmente se acepta que la seguridad de la
información no puede tener éxito sin el apoyo y la contribución de la administración
superior. En muchas organizaciones, los estilos de gestión jerárquica son dominantes,
por lo que si la administración no prioriza la seguridad y comunica esa prioridad a la
gente de la empresa, será muy difícil obtener el apoyo de los gerentes de la unidad de
negocios, obtener fondos adecuados para el programa de seguridad y aplicar la política.
Del mismo modo, si la empresa carece de estructura, se pueden encontrar los mismos
problemas, pero por diferentes razones.
13 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO
En la empresa A, la seguridad de la información es parte de la función general de TI. No hay una función
de jefe de seguridad de la información (CISO) y el gerente de seguridad informa al director de información
(CIO). La función de TI establece la dirección mediante la emisión de políticas y estándares para la
seguridad de la información, pero no tiene una influencia directa en la forma en que se implementan en
las unidades de negocio. Las decisiones importantes las toman los comités y luego las ejecuta el gerente
de seguridad.
En la empresa B, la seguridad de la información está centralizada en un rol de CISO. Las unidades de
negocio tienen personas formalmente nominadas responsables de la seguridad. Las decisiones
importantes generalmente se toman centralmente, pero a menudo se inician desde dentro del negocio.
El personal de seguridad con frecuencia se reúne en grupos regionales, y algunas veces a nivel mundial.
Las dos organizaciones formales son claramente diferentes en su reconocimiento de la seguridad de la
información y en su grado de autoridad central. Ambos pueden funcionar, pero hay otros factores (como
la tecnología, la cultura y los factores humanos) que influirán en el funcionamiento de la organización de
seguridad. Desde una perspectiva de sistemas, la Compañía A está sufriendo una fricción constante que
surge de las acciones algo autónomas de los negocios. Los gerentes de seguridad a menudo se enfrentan
a prácticas y comportamientos cambiantes que se deben a las presiones comerciales y las situaciones
cotidianas. Sin embargo, estos pueden entrar en conflicto con las políticas y la orientación central. Las
funciones centrales de la Empresa A no tienen un vínculo directo con las empresas, por lo que cualquier
innovación técnica o cultural es difícil de consolidar. En la empresa B, la presencia y participación de
gerentes de seguridad locales y regionales crea un bucle que se refuerza: la tolerancia local para la
ambigüedad y la flexibilidad se pone a prueba (a través de reuniones regionales y mundiales) y las
unidades centrales pueden proporcionar retroalimentación la organización mediante la identificación y
el fomento de mejores prácticas. En términos de BMIS, el elemento de la Organización probablemente
permanecerá estático en la Compañía A, mientras que el mismo elemento en la Compañía B será uno de
los instrumentos que ayudará a influenciar y mejorar la seguridad de la información.
EJEMPLO
La Organización ABC contrata a un nuevo gerente de seguridad (Peter). ABC tiene poca seguridad, su presupuesto
no es masivo y Peter depende de un CIO muy ocupado que brinda poca dirección pero necesita que Peter cumpla la
tarea aparentemente insuperable de priorizar la seguridad para que los incidentes disminuyan a medida que
aumenta la confianza y la disponibilidad.
Peter sería sabio para averiguar sobre la organización informal. ¿Quiénes son las personas con influencia? ¿Dónde
se maneja la información? ¿De dónde viene e ingresa la información, tanto dentro como fuera de la organización?
¿Cómo puede Peter incorporar a las personas influyentes en el programa para que comprendan cómo la seguridad
facilitará su vida cotidiana? ¿Pueden estos influenciadores convencer a sus compañeros, que también son
influyentes y pueden apoyar el programa?
Es fundamental que el programa de seguridad de la información reconozca la organización informal. Con la conexión
directa con las personas a través de la cultura DI, existe una relación entre las acciones y los comportamientos, y la
eficacia de la organización. Los patrones de comportamiento adoptados dentro de una organización tienen un
impacto directo en la seguridad, así como en la productividad y la eficiencia. En muchos casos, probablemente
incluyendo ABC, son el factor clave para entender cómo funciona realmente la organización.
15 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
16 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO
En una gran institución financiera, el CIO recibe un informe de auditoría sobre múltiples vulnerabilidades
de seguridad relacionadas con la gestión de identidad y acceso (IAM). Se desarrolla una nueva política que
requiere que IAM sea más estricto que antes. El CIO crea un grupo de trabajo para implementar los cambios
y hacerse cargo de IAM. El proceso de gestión de identidad es revisado y se comunica a todos los
empleados. Al mismo tiempo, se introduce una nueva herramienta para globalizar y centralizar todas las
actividades de IAM en toda la empresa.
Los eventos posteriores muestran un efecto adverso. El número de infracciones de acceso e identidades
compartidas aumenta bruscamente. Las investigaciones realizadas por auditoría interna muestran que los
empleados son reacios a seguir el nuevo proceso porque sienten que impide su trabajo diario. Los
administradores de seguridad ya no pueden controlar las identidades y los derechos de acceso a nivel local,
y han renunciado a la responsabilidad de la unidad central ahora a cargo de IAM. Si bien la herramienta se
ha implementado por completo, existen importantes problemas de calidad de datos que la vuelven casi
inútil.
El cambio inicial en este ejemplo se relaciona con la Organización y la DI gobernante (ver el siguiente
párrafo). El sistema general se modifica al imponer una nueva dirección (globalización y centralización). A
medida que la DI gobernante se activa, los procesos inevitablemente cambian. Asimismo, la Arquitectura
DI conduce a la introducción de una nueva herramienta en el elemento Tecnología. Otro efecto en el
modelo general es el cambio en la cultura, ya que los gerentes de seguridad ya no tienen control local sobre
las identidades y los derechos de acceso. Esto se relaciona con la Cultura DI.
El cambio inicial en el diseño organizacional puede haber funcionado, si no hubiera tenido efectos
secundarios en todas las otras partes del modelo: los nuevos procesos engorrosos se topan con la
resistencia pasiva de las personas que se sienten incapaces o no desean adoptar el cambio cultural. Su
interpretación lleva a la Emergencia (otra DI): se sigue el proceso, pero no cómo se pensó originalmente.
Del mismo modo, la nueva herramienta no puede habilitar y respaldar los nuevos procesos, simplemente
porque no se siguen como se esperaba. Mientras la arquitectura está allí, es disfuncional.
En una mentalidad lineal, la reacción del CIO al informe de auditoría es comprensible: los hallazgos se
abordan mediante medidas que se aplican posteriormente hasta que se reduce el número de problemas
de IAM. En una mentalidad sistémica, sin embargo, el CIO puede haber anticipado los efectos primarios en
los procesos (desaceleración, burocracia, desconfianza, etc.) así como en la cultura (resistencia pasiva) y la
arquitectura (presentando una herramienta que resuelve el problema equivocado).
Proceso
El proceso es el segundo elemento a considerar (figura 4). El elemento Process es único
y proporciona un enlace vital a todas las DI (interconexiones dinámicas) del modelo. Los
procesos son creados para ayudar a las organizaciones a lograr su estrategia. Son las
actividades estructuradas que se crean para lograr un resultado particular a través de
tareas individuales o una serie de tareas aplicadas consistentemente. El elemento
Proceso explica prácticas y procedimientos a medida que las personas y las
organizaciones quieren que se cumplan. El proceso es un elemento fundamental que
simboliza los requisitos para que una empresa desarrolle, promulgue, eduque y haga
cumplir las prácticas y procedimientos de seguridad de manera continua.
18 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
... es una colección confiable y repetitiva de actividades y controles para realizar una
determinada tarea. Los procesos toman información de una o más fuentes (incluidos
otros procesos), manipulan la entrada, utilizan recursos de acuerdo con las políticas y
producen resultados (incluida la salida a otros procesos). Los procesos deben tener
razones de negocio claras para los propietarios y responsables existentes, funciones y
responsabilidades claras en torno a la ejecución de cada actividad clave y los medios
para realizar y medir el rendimiento.
19 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Tecnología
A menudo, la parte más familiar de un programa de seguridad de la información es que
la tecnología es un elemento relativamente compleja y altamente especializada dentro
de BMIS (figura 6). La tecnología brinda a los profesionales de la seguridad muchas de
las herramientas utilizadas para cumplir la misión y la estrategia de la empresa en su
conjunto, incluidos los parámetros de seguridad genéricos de confidencialidad,
integridad y disponibilidad. Sin embargo, la tecnología no es todo lo que hay para la
seguridad de la información, aunque existe una percepción errónea de que la inversión
en tecnología resolverá todos y cada uno de los problemas de seguridad.
Alcance de la tecnología
La tecnología puede definirse como "la aplicación práctica del conocimiento,
especialmente en un área particular" y "una capacidad dada por la aplicación práctica
del conocimiento". La Enciclopedia Británica define la tecnología como "la aplicación del
conocimiento científico a los objetivos prácticos del ser humano" la vida o, como a veces
se dice, el cambio y la manipulación del entorno humano”. Estas definiciones prácticas
20 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
ilustran el significado clave del término dentro del BMIS: la tecnología incluye todas las
aplicaciones técnicas del conocimiento utilizado en la organización. En la práctica, es
probable que la definición de tecnología sea estrecha, ya que sirve para el propósito de
apoyar y lograr los objetivos de la organización. Por el contrario, la idea de que la
tecnología es solo TI es demasiado estrecha. En el contexto de BMIS dentro de una
organización, la tecnología cubre más que la TI tradicional.
En el nivel más bajo, la tecnología puede referirse a objetos concretos (como
herramientas e implementos) o a su funcionamiento. Alternativamente, la tecnología
puede considerarse la cantidad de conocimiento "científico" aplicado implementado
dentro de una empresa y el grado en que la empresa depende de ella, el nivel de
"sofisticación técnica" de la empresa.
Tecnología en BMIS
Por lo tanto, dentro de BMIS, el elemento de Tecnología se refiere a cada
implementación de habilidades técnicas y conocimiento que podría tener un impacto en
la seguridad general de la información. Esto podría ir desde el buscapersonas personal
y el teléfono móvil hasta la voz por IP (VoIP); desde el asistente digital personal (PDA)
hasta el mainframe; desde la construcción sólida y el bloqueo físico en la puerta a los
dispositivos de administración de acceso biométrico; desde la cámara para PC a un
sistema de video vigilancia totalmente congelado y en color; y desde el botón de alarma
de incendio a los sistemas más sofisticados de detección y supresión de incendios. Como
parte de la perspectiva sistémica, BMIS también aborda tecnologías omnipresentes que
van más allá de los límites de la empresa misma: aplicaciones basadas en la web y
almacenamiento de datos, acceso a través de redes públicas, infraestructuras entre
pares, redes oscuras y otras tecnologías que las personas utilizan como servicios.
Personas
El elemento Personas de BMIS (figura 7) representa los recursos humanos de una
organización: empleados, contratistas, proveedores y proveedores de servicios. Las
personas principales dentro de BMIS son aquellas que están empleadas o asociadas de
otra manera con la organización. Sin embargo, en situaciones de subcontratación,
relaciones de múltiples proveedores o soluciones de tecnología de servicios
administrados, existe un segundo círculo de personas que trabajan indirectamente
dentro o para la organización. Este círculo más amplio de personas necesita ser
considerado, pero su impacto en la seguridad puede no residir en el elemento Personas.
Por ejemplo, un proveedor de servicios de mesa de ayuda puede verse como un proceso
dentro de ese elemento, y cualquier efecto sistémico basado en las personas sería a
través de Emergence. En la práctica, el resultado final de un cambio sistémico con
respecto a las personas suele ser el mismo, independientemente de si las personas son
internas o secundarias externas.
21 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Las personas dentro de una organización tienen sus propias creencias, valores y
comportamientos que surgen de sus personalidades y experiencias. El marco
corporativo afecta y se ve afectado por estos atributos, ya que define sus propias
creencias, valores y comportamientos y el grado en que se espera que las personas
cumplan. Esto se refleja en la cultura DI. Por ejemplo, la forma en que las personas
actúan dentro de una organización -y en relación con la seguridad de la información-
depende de la estrategia de recursos humanos (RR.HH.) corporativa definida en el
elemento Organización e implementada dentro de los procesos, como parte del
gobierno de la organización. Si la estrategia corporativa de recursos humanos relaciona
el desempeño del empleado en el cumplimiento de las políticas corporativas (incluida la
seguridad de la información) con los resultados de la evaluación de los empleados,
entonces se está respaldando el cumplimiento de la cultura corporativa. En otro
ejemplo, la empresa que tiene políticas bien desarrolladas para tratar con los empleados
durante la contratación y el empleo y después de la finalización del contrato demuestra
un proceso sólido para la gestión de las personas y las expectativas relativas a la
seguridad de la información. Por supuesto, este proceso es implementado por personas
(el departamento de RR. HH., La gerencia de línea, el departamento de seguridad) y la
naturaleza humana dicta que, al implementar procesos, las personas a menudo
introducen un nivel de incertidumbre, que se refleja en el Emergence DI.
Es evidente que las personas influyen en la seguridad de la información a través de su
interacción con el entorno corporativo, reflejado en sus estrategias y procesos
22 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
los bucles hacia adelante. Estos bucles cambian dinámicamente el sistema y lo mueven
gradualmente a un nuevo estado. Donde existen tensiones que distorsionan el modelo,
los cambios surgirán primero en una DI y luego en los elementos correspondientes. Esto,
a su vez, puede influir en otras DI y elementos, lo que lleva a un ciclo que se auto refuerza
y mueve el modelo como un todo.
Gobernante
Según ISACA, "la gobernanza es el conjunto de responsabilidades y prácticas ejercidas
por la junta directiva y la dirección ejecutiva con el objetivo de proporcionar una
dirección estratégica, asegurar que se logren los objetivos, verificar que los riesgos se
gestionen adecuadamente y verificar que los recursos de la empresa se usen de manera
responsable". El gobierno de la empresa y la gobernanza de TI establecen los límites
globales de lo que es factible dentro de la seguridad de la información. Como tal, la
gobernanza se encuentra fuera de, y toca, cada aspecto del modelo BMIS. La gobernanza
empresarial, entre otras cosas, influye en la forma que adopta una organización y en
cómo los elementos de Gente, Proceso y Tecnología se unen para apoyar la misión y la
estrategia de la organización. Por lo tanto, la DI gobernante traduce conceptos y
medidas de gobernanza existentes (a nivel del elemento Organización), alentando a las
organizaciones a cumplir sus misiones y objetivos y establecer límites y controles a nivel
de proceso.
Actuando como la conexión entre los elementos de Organización y Proceso, la DI que
gobierna (figura 8) representa la acción de poner en práctica la gobernanza dentro de
BMIS. Esto significa administrar el proceso mientras se implementa el sentido de
dirección establecido por la alta gerencia. Si bien los dos elementos representan lo que
se debe hacer y cómo hacerlo, este DI actúa como un catalizador para lograrlo. El
gobierno se logra a través de la interconexión con el elemento Proceso. Las reglas y
regulaciones, es decir, las normas y directrices, se reflejan en el elemento Proceso a
través de procedimientos y prácticas definidos o ad hoc.
El ciclo de retroalimentación que modifica activamente los resultados DI Gobernantes
de las otras DI de Cultura y Arquitectura, actuando según el diseño y la estrategia. Por
ejemplo, en la medida en que el elemento de Tecnología sea inadecuado para las
necesidades de seguridad de la organización, la Arquitectura DI creará "tensión",
distorsionando el modelo y dando como resultado la necesidad de cambios en el diseño
que, a su vez, modificará la estrategia eso cambia la DI gobernante. Los cambios en la DI
gobernante modificarán los procedimientos y las prácticas en el elemento Proceso.
Objetivos
Los procesos deben cumplir los objetivos de la organización a un nivel aceptable de
previsibilidad, es decir, riesgo. El acto de gobernar debe establecer el enfoque de lo que
debe lograrse en los diversos procesos organizacionales (elemento Proceso) y al mismo
24 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
tiempo establecer los límites de las actividades que mitigan los riesgos de manera
suficiente. El gobierno también debe abordar cuestiones de preservación organizacional
o sostenibilidad, y hacerlo sin limitar innecesariamente la capacidad de la organización
para prosperar y prosperar.
Figura 8 – gobernante DI
organización
GOVERNANTE
CULTURA ARQUITECTURA
Procesos
Enfoques
Gobernar abarca todas las actividades tácticas requeridas para lograr la estrategia de la
organización dentro del contexto del diseño organizacional. Cualquier actividad de
gobierno que no cumpla con estos criterios será contraproducente y creará "tensiones"
excesivas que deberán resolverse mediante cambios en el diseño y la estrategia o en la
DI gobernante. Un gobierno excesivo más allá de lo que se necesita para alcanzar los
objetivos comerciales y limitar los riesgos a niveles aceptables se convierte en una
burocracia restrictiva, reduciendo la adaptabilidad organizacional y la resiliencia en el
manejo de situaciones emergentes.
Las herramientas principales para gobernar son los estándares y las acciones
orientadoras que de manera demostrable cumplen con la intención de la política. Los
estándares que no proporcionan el conjunto adecuado de límites y orientación darán
lugar a una exposición al riesgo inaceptable para la organización. Los estándares que son
demasiado restrictivos limitan innecesariamente las opciones de procedimiento y
afectan negativamente a la capacidad de adaptación, la adaptabilidad y la eficacia de la
organización. Del mismo modo, otras acciones orientadoras -que representan el
gobierno en el sentido activo de la palabra- deberían estar vinculadas a la estrategia
25 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Políticas
Normas, directrices y otra documentación normativa
Reglas de rendición de cuentas
Asignación de recursos y priorización
Métricas (para todo lo anterior)
Cumplimiento (como un tema general)
26 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Todas las actividades de gobierno deben ser explícitas y son una parte requerida del
diseño y la estrategia de la organización con vínculos definidos entre el diseño, la
estrategia y el proceso.
Los marcos / estándares que respaldan la DI gobernante incluyen:
COBIT21
Val IT
Línea de base de seguridad COBIT
Risk IT
Principios de gobierno corporativo de la OCDE
Serie ISO 27000: Sistemas de gestión de la seguridad de la información
Marco de gestión de riesgos de COSO Enterprise
NIST SP 800-53: controles de seguridad recomendados para los sistemas de
información federales, para más cuestiones relacionadas con TI
Cultura
Si bien la tecnología y la política siguen siendo ingredientes importantes para asegurar
la información empresarial, se ha vuelto obvio que no son suficientes por sí mismos. La
cultura (figura 9) es una de las DI que separa BMIS de otros modelos de seguridad. Al
abordar la cultura y su impacto en el comportamiento, BMIS proporciona una imagen
más completa de la empresa. El impacto de la cultura en las personas es un tema clave
en la seguridad de la información ya que las personas pueden contribuir a la seguridad
de la información o, por el contrario, a comprometerla.
La Cultura DI afecta, y se ve afectada por, los elementos de Organización y Relaciones
lógicas de personas porque la cultura interna de la empresa puede estar relacionada con
las influencias culturales en el individuo. La sinergia entre los recursos humanos y la
organización es la base de la cultura corporativa.
¿Qué es cultura?
La cultura organizacional es un tema ampliamente documentado para el cual se han
publicado muchas definiciones. La definición que BMIS utiliza es: "La cultura es un
patrón de comportamientos, creencias, suposiciones, actitudes y formas de hacer las
cosas" 22. El patrón de palabras es clave en esta definición. Las culturas están
compuestas por individuos, pero no necesariamente representan comportamientos
individuales. Es la cultura la que influye en los comportamientos individuales y grupales.
Al usar BMIS, hay dos capas de cultura para considerar. La cultura organizacional se
forma a lo largo del tiempo mediante la estrategia, el diseño organizacional y las
conductas de las personas en el trabajo. La segunda capa se encuentra en la cultura
individual de las personas, que puede ser diversa y heterogénea. Ambas capas deben
tenerse en cuenta al visualizar Cultura a DI que influye en la seguridad.
27 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Figura 9- Cultura DI
Organización
CULTURA
GOBERNANTE ARQUITECTURA
Personas
Reglas y normas
Tolerancia para la ambigüedad
Distancia de poder
El factor de cortesía
Contexto
Colectivista vs. individualista 23
Asunción de riesgos vs. aversión al riesgo 24
Si bien algunos de estos aspectos pueden parecer familiares, también destacan
conceptos menos comunes, como el factor de cortesía, en el cual las personas temen
corregir a sus superiores o compañeros para no avergonzarlos; la tolerancia a la
ambigüedad, que examina qué tan bien la empresa trata con lo desconocido y con el
cambio; y la mentalidad colectivista vs individualista, que se enfoca en cómo alejar a los
empleados de 'mí' para que se centren en 'nosotros'.
Además de los aspectos mencionados, las empresas deben considerar el efecto de
factores como la ubicación geográfica, la etnia y la religión. Por ejemplo, muchos países,
ya sea por influencias de la religión o la tradición, tienen una cultura de confianza. Los
valores predeterminados de la administración son confiar en la integridad de los
empleados, proveedores y clientes. Algunos consideran que la confianza es la base
misma del negocio, ya que la confianza es la voluntad de una de las partes de ser
vulnerable a las acciones de otra parte, en base a la expectativa de que la otra realice
una acción particular importante para la primera parte. En un momento, cuando el
mundo de las finanzas, el comercio y la industria era más estable, estos rasgos podrían
haber sido una suposición razonable. Sin embargo, en un ambiente de globalización,
este es un área sobre la cual el gerente de seguridad de la información debe prestar
29 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
mucha atención. "Confiar en nadie" es un extremo que debe evitarse, al igual que el otro
extremo (frecuentemente visto) del espectro: "Todos confiamos en los demás por aquí".
Debido a que todas las culturas empresariales (la primera capa de cultura vista desde
una perspectiva de seguridad) tienen su propio sabor, es importante que el gerente de
seguridad de la información entienda que lo mejor para la organización es importante
para la cultura de seguridad: si las personas son leales a la empresa, es más probable
que manejen la información de manera segura. Estrategias y objetivos bien establecidos
y bien comunicados pueden ayudar a las organizaciones a crecer desde la perspectiva
del "yo" hasta la perspectiva del "nosotros". Idealmente, esto significa que,
independientemente de las políticas y procedimientos de seguridad formales, es
probable que las personas desarrollen una perspectiva consciente sobre la protección
de la información, tal como lo harían al proteger sus propios hogares. Sin embargo, esto
implica que la gerencia y el personal compartan un entendimiento común; solo cuando
la cultura empresarial no se comprenda solo, sino que se comparta, ¿será aceptable el
resultado global?
EJEMPLO
En una empresa asiática que ofrece servicios subcontratados a muchas empresas
europeas y estadounidenses, la seguridad parece haber sido bien comunicada,
documentada y "vivida". Una inspección no planificada revela que el día antes de la
auditoría anunciada, la mayoría de las reglas de seguridad se incumplen abiertamente
y existe una diferencia significativa entre la situación observada y la observada en las
auditorías anteriores. Al entrevistar a la gerencia, el auditor se entera de que "la visita
no había sido anunciada y estaba planificada para el día siguiente".
Desde una perspectiva de BMIS, este ejemplo muestra dos cosas. En primer lugar, la
cultura tal como se define y se comunica es algo que el personal local y la gerencia han
entendido, pero no han internalizado. Parece que las expectativas de los clientes se
cumplen de la mejor manera posible, pero solo cuando se lleva a cabo una auditoría o
cuando se implementa algún otro mecanismo de vigilancia. En todos los demás casos,
las expectativas de seguridad expresadas por el cliente son, en el mejor de los casos,
vistas como extrañas y educadamente ignoradas. En segundo lugar, la cultura
individual de las personas, y tal vez la cultura local como un todo, son obviamente
completamente diferentes de la cultura prevaleciente en los países de origen de los
clientes. Esto crea una tensión considerable en la Cultura DI del modelo.
Para resolver estas discrepancias culturales, BMIS indicaría acciones en la Cultura DI,
por ejemplo, mediante la inserción de personas expatriadas en la gestión de seguridad
o la adscripción de gerentes de seguridad locales a los países de origen de las empresas
que subcontratan a Asia. Independientemente del modelo de seguridad aplicado, es
probable que este proceso de lenta adaptación cultural tarde mucho tiempo.
30 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO
En una empresa de fabricación en Alemania, la administración de seguridad observa casos frecuentes de
infecciones de virus, malware y aplicaciones no autorizadas que se descargan en la red corporativa.
Durante mucho tiempo, la alta dirección ha mantenido una estricta política de seguridad, junto con una
cultura de orientación detallada y aplicación amplia, que incluye medidas disciplinarias y despido. Una
auditoría revela que, con el uso cada vez mayor de las aplicaciones web y Web 2.0, los empleados
involuntariamente comenzaron a correr mayores riesgos. Como resultado, la cantidad de incidentes de
seguridad ha aumentado significativamente. Hay una tensión obvia en la cultura DI.
Un análisis desde la perspectiva de BMIS muestra que existe una cultura de seguridad 'antigua' que no es
poco común en las empresas manufactureras: la seguridad estricta es parte del modelo de negocios y todos
los secretos comerciales están bien protegidos. Esta cultura protectora es obviamente bien comprendida
y aceptada por los empleados, ya que el problema parece estar centrado en las TI y no en los demás
procesos comerciales. La 'nueva' cultura de seguridad, por otro lado, aún no se ha formado y los empleados
parecen estar usando la red de una manera descuidada y sin protección. Han sido entrenados para trabajar
de acuerdo con un estricto conjunto de reglas, y están menos equipados para ejercer precaución cuando
no hay reglas. Esto es confirmado por los empleados afirmando que "no lo hicieron a propósito".
En este ejemplo, el problema de las infracciones a la seguridad de la información se resuelve más tarde
mediante la contratación de un consultor externo que capacita a los empleados "en el trabajo". Se
configura una red encapsulada que simula el uso típico de las aplicaciones Web y Web 2.0.
Los empleados reciben demostraciones prácticas de cómo implementar un virus, cómo insertar malware,
etc. Después de algunas sesiones, que resultan ser muy divertidas para los empleados entrenados, el
número total de incidentes de seguridad disminuye drásticamente.
Si bien las culturas empresariales son únicas, sí entran en ciertas categorías. Cada una
de estas categorías tiene características que describen la interacción de las personas
asociadas con la empresa, la priorización de la creatividad y la innovación en la forma en
que opera la empresa, la capacidad de la empresa para manejar la ambigüedad y su
tolerancia y flexibilidad con respecto al cambio. Estas características forman la base de
la cultura de la organización y, a menudo, son parte de los valores centrales de la
empresa.
EJEMPLO
En una cultura jerárquica o militarista, la idea dominante es la de comando y control. El estricto
cumplimiento de las órdenes es un hecho, y las decisiones se toman de una manera estrictamente
jerárquica y de acuerdo con el rango. La gerencia ejecutiva empuja hacia abajo sus creencias y preferencias
y dirige el negocio de acuerdo con esas creencias. Este tipo de organizaciones tienen estructuras definidas
y pueden dejar poco espacio para el aporte o la innovación de los empleados. La ventaja percibida de estas
culturas rígidas es el funcionamiento predecible de grandes grupos de personas en un nivel definido. Las
fuerzas militares, particularmente en tiempo de paz, a menudo se consideran burocráticas, lentas e
ineficientes. Sin embargo, su objetivo principal es el funcionamiento eficiente y completamente predecible
en tiempo de guerra, por lo que no hay sorpresas y, por lo tanto, se garantiza la fiabilidad total.
31 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Otras culturas son de naturaleza más igualitaria, consideran al personal como igual y
consideran que las reglas son menos importantes que la productividad. En estos casos
puede haber una falta de estructura y las personas a menudo se dejan a sus propios
dispositivos en cuanto a cómo entregar. Las preocupaciones de seguridad son a menudo
evidentes porque las personas eligen evadir los controles o procedimientos existentes
para producir resultados rápidamente. La seguridad no se puede aplicar de manera
coherente, por lo que los comportamientos se convierten en normas y generalmente se
evita la seguridad.
Existen problemas en ambos tipos de atmósferas. Por ejemplo, dentro de una cultura
jerárquica, la distancia de poder es alta. En esta situación, la dirección ejecutiva tiende
a ser autoritaria y exige la adherencia de los empleados a reglas estrictas. Los empleados
pueden seguir las políticas de seguridad por miedo a las consecuencias. Esta cultura no
ayuda a los empleados a apreciar o entender la seguridad. Puede surgir la percepción
de que la seguridad dificulta las cosas o actúa como un obstáculo para hacer el trabajo.
Del mismo modo, una empresa en la que la administración es laissez-faire y se centra
principalmente en la productividad tiene una distancia de poder inferior, es decir, puede
carecer de una estructura y políticas bien definidas o puede tener políticas que no se
aplican. La percepción es que la seguridad es opcional o secundaria a hacer el trabajo.
Como se puede ver, ningún tipo de entorno contribuye a una "mejor" cultura de
seguridad. De hecho, ambos dan lugar a problemas potencialmente graves.
En el primer ejemplo (una cultura con una gran distancia de poder), los empleados
pueden estar tan atados a la política por miedo al incumplimiento que es posible que no
puedan reconocer un problema emergente o una amenaza no documentada como un
posible riesgo para los activos de información empresarial. Siempre y cuando hayan
seguido las reglas, se sienten seguros sin tener que pensar "fuera de la caja". Del mismo
modo, en una cultura con una distancia de baja potencia, las personas pueden ignorar
los procedimientos o evitar los controles para hacer su trabajo más rápido, creando
riesgos potenciales. Cuando se enfrentan a un incidente de seguridad, es probable que
la gente señale que "la seguridad no es para lo que estamos aquí; tenemos un trabajo
que hacer'. Un equilibrio entre estos dos tipos de entornos probablemente crearía una
mejor cultura de seguridad. Sin embargo, la mayoría de las empresas no tienen la
combinación perfecta de flexibilidad y estructura, por lo que se necesita un cambio.
32 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
33 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Algunos primeros pasos para mejorar la cultura para ser más favorable a la seguridad
pueden incluir los siguientes:
Como se mostró anteriormente, cambiar una cultura requiere muchas actividades que
sean constantes y consistentes e involucren a las personas en todos los niveles de la
empresa. La consistencia ayudará a asegurar que las actividades comiencen a evocar un
comportamiento deseable que transiciones a normas no escritas (y posteriormente
escritas). Pequeños cambios intencionales pueden tener efectos en cascada en toda la
empresa. El aumento de la colaboración entre los grupos puede aumentar la confianza
y unir a las personas con un objetivo común. Una vez que las personas comienzan a
trabajar juntas, pueden comenzar a compartir experiencias, lo que ayudará a mejorar
las relaciones y las actitudes y a demostrar las similitudes.
La cultura de seguridad madura a medida que los patrones de comportamiento se
ajustan para que la seguridad se arraigue en las actividades diarias. A medida que la
capacitación y la sensibilización se amplían, se aumenta la concienciación y las unidades
de negocios individuales o los grupos comienzan a trabajar juntos hacia un objetivo
común: los comportamientos, las creencias y las actitudes cambiarán. Una vez que esto
ocurre, estos comportamientos se transmitirán a las nuevas generaciones de empleados
como normas y reglas. Aquí es cuando se puede ver el cambio verdadero.
Si bien parece una tarea desalentadora (y lo es), es posible cambiar el ADN de la
empresa. Los beneficios de crear una cultura consciente y conducente a la seguridad se
aplican no solo al gerente de seguridad sino también a la empresa; sus socios; y, lo más
importante, sus clientes.
34 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Arquitectura
Arquitectura (figura 10) DI es el que conecta los elementos de organización y tecnología.
Mientras que la arquitectura a menudo se equipara a la infraestructura cuando se trata
de la seguridad o de TI, es importante tener en cuenta que la arquitectura constituye
mucho más que eso. En muchos aspectos, la arquitectura de seguridad de la información
es análoga a la arquitectura de la seguridad y la seguridad asociada a los edificios.
ARQUITECTURA
35 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
36 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
37 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
38 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Las soluciones tecnológicas aplicadas deben seguir los requerimientos del negocio. Esto
incluye la coubicación física, el trabajo descentralizado y teletrabajo, y grupos de trabajo
especiales que se forman a intervalos poco frecuentes. La infraestructura de
enrutamiento y cortafuegos es un buen ejemplo: en una estructura organizativa
fuertemente descentralizado, hay una necesidad más acuciante de flexibilidad en la
conmutación, encaminamiento y de cortafuegos.
Por el contrario, la tecnología de seguridad puede permitir la centralización de las
operaciones seguras, incluso cuando las ubicaciones físicas están geográficamente
distribuidas, a veces en diferentes países o en otros continentes. Los ejemplos de una
estrategia de centralización virtual se expresa en la arquitectura de seguridad son redes
privadas virtuales (VPN) a través de redes de área amplia (WAN) o redes públicas,
videoconferencias seguras, y darknets seguras.
• Necesidades de calidad y seguridad-La arquitectura organizacional determina el
nivel mínimo requerido de calidad de los servicios de seguridad (QoSS) y parámetros
de diseño de los controles de seguridad, incluida la política. El elemento de
organización identifica los niveles deseados de calidad sobre la base de los
requerimientos del negocio y los objetivos de seguridad, que se reflejan a
continuación, en soluciones tecnológicas. Una vez más, la arquitectura se traduce
objetivos de la organización en la tecnología de 'derecho', y se informa a la tecnología
en términos de la calidad de servicio requerida.
40 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
41 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Algunos de los menos temas abordados que deben ser tomados en cuenta en la
evaluación del riesgo son los retrasos inherentes a la tecnología, la incapacidad de la
tecnología para aplicar plenamente los objetivos de seguridad y los requisitos de la
tecnología para alojar y realizar actividades comerciales y procesos de seguridad sin
dejar de ser fácil apropiadamente usar.
• Arquitectura de seguridad-Este proporciona una relación equilibrada entre
elementos fuertemente opuestos y la interacción de elementos en conflicto, y sirve
como un dispositivo para regular la tirantez entre la gobernabilidad, la arquitectura
y las operaciones de la tecnología de una organización. La arquitectura debe
permitir a la organización a comprender el equilibrio entre la tecnología de
seguridad demasiado y demasiado poco de ella. Como una tarea secundaria, la
arquitectura de seguridad es el factor decisivo en el equilibrio de 'tirantez', es decir,
la capacidad de respuesta de la toma de decisiones de la organización a los cambios
tecnológicos y viceversa.
Activación y Apoyo
La habilitación y de apoyo DI conecta los elementos de procesos y tecnología. En
términos de BMIS, es la interconexión dinámica a través de la que la tecnología permite
proceso, y el proceso a su vez soporta la implementación y el funcionamiento de la
tecnología, como se muestra en la figura 12.
42 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
43 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Este mapa de procesos es recta y secuencial, sin bucle de realimentación o hacer 'en
off'. Una vez que la tecnología se adquiere, la organización general utiliza el soporte del
proveedor para su implementación. Organizaciones veces reducir o eliminar el soporte
del proveedor sin necesidad de un proceso de repliegue en su lugar. La transferencia de
conocimientos y la documentación son ignoradas en favor de la fijación de los problemas
y hacer que la tecnología funcione en un modo práctico. En el pensamiento sistémico,
el modelo lineal no resuelve ninguno de los problemas que surgen de la implementación
de la tecnología secuencial y mantenimiento. Como consecuencia, la forma de pensar
BMIS favorece un bucle, como se representa en la figura 14.
44 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
El bucle permite volver a los pasos anteriores según sea necesario para adaptarse
sistémicamente cualquiera de los pasos en el ciclo. Por ejemplo, si la solución tecnología
parece poco claro o poco definido, la solución de negocio se revisa para asegurar la
alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario
volver a los requisitos de servicio originales formulados o incluso a los requisitos de
negocio globales. Sin embargo, esto no es una secuencia paso a paso como se muestra
en la figura 13. Es sistémica en que ningún paso en el bucle está siempre 'completado',
pero todos los pasos interactuar en el ciclo global y puede cambiar las soluciones de
tecnología y su despliegue.
Cuando la selección e implementación de tecnología son parte de la implementación de
una solución de negocio, hay un proceso cíclico que permite a los componentes de la
solución adecuados para desempeñar un papel. BMIS ayuda a asegurar una visión
integral y equilibrada de la habilitación de la tecnología. El modelo no aboga por una
tecnología de última generación o automatización completa, sino que se centra en la
habilitación de la empresa mediante el uso de la tecnología.
Los procesos son formas de lograr los objetivos. Sin objetivos, procesos no son medibles
y son de poca utilidad. Lo mismo se aplica a la tecnología (el objeto), que no tiene valor
si no permite la organización para lograr sus objetivos en la aplicación de su estrategia
(incluso si esta estrategia evoluciona).
De ello se desprende que existe una co-dependencia entre la tecnología de los
elementos de proceso y que hace que sea difícil aislar una de la otra. La habilitación y
de apoyo DI es una relación bidireccional fuertemente acoplado que puede ser
entendido sólo cuando se aplican los tres componentes básicos de los sistemas de
pensamiento (retroalimentación, el equilibrio y el retraso), como se describe más
adelante en esta sección.
45 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO
Si un archivo que contiene los números de EE.UU. Seguro Social (SSN) se envía sin cifrar y en contra de la
política de la organización, lo más probable es que la organización va a establecer una nueva práctica y
preguntar a sus empleados para cifrar los archivos, porque esa es la práctica común hoy en día.
Si bien esto puede funcionar en algunos casos, tiene sus propios defectos ya que las personas no siempre
siguen elEnproceso
el ejemplo
y laanterior, el enfoque
posibilidad de los
de que los sistemas
números de de BMISsocial
seguro hará que la organización
podrían a a la clara
ser enviados
seguiría tomar en cuenta
existiendo. otrospuede
Además, factores antes
haber de decidirse
otros modos depor 'la solución'.dePor
transferencia ejemplo,
datos que seuna
están datos
organización se adhiere a los conceptos de BMIS puede considerar las siguientes
transmitida en texto claro. Obviamente, el problema será mucho más amplio que solo la seguridad del
preguntas: Por lo tanto, las organizaciones deben considerar un enfoque diferente para resolver
correo electrónico.
problemas y desarrollar soluciones, que proporciona BMIS.
46 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Las preguntas en los cuatro puntos anteriores representan los elementos de BMIS.
Rompiendo preguntas por elemento de ayuda a lograr una solución equilibrada
mediante el análisis de las respuestas más en el contexto de las dimensiones de BMIS:
• Procesos están bien definidos; Sin embargo, la organización carece de la gente
entrenada para apoyarlos.
• El cifrado se ha intentado antes; Sin embargo, la cultura de la organización tiende a
ser muy informal y las personas enviar correo electrónico sin cifrar cuando piensan
que pueden 'confianza' a la otra parte.
Por lo tanto BMIS mejora la capacidad de una organización para relacionar los factores
que influyen críticos, y que la organización considera Cultura, Arquitectura, Factores
Humanos, Administración y habilitación y de apoyo temas, la administración puede
decidir eliminar (máscara) SSN a partir de extractos de archivos, eliminando así el riesgo
por completo.
Como la mayoría de los sistemas de información tienden a ser autónomo y operan
dentro de sus propios silos, el proceso de retroalimentación, o bien no existe o existe en
una capa que no filtra hasta el nivel de habilitación y de apoyo. La Figura 15 muestra
cómo operan mayoría de las organizaciones.
Estas unidades organizativas silos tienden a centrarse más en la arquitectura técnica que
en la estructura, tal como se describe anteriormente en esta sección. Esta es una de las
causas subyacentes de la no utilización de la tecnología para satisfacer los objetivos de
negocio.
Sin embargo, si las organizaciones permiten la integración de los silos, un resultado
diferente se puede observar (figura 16).
Es evidente que los procesos de organización integrados podrían conducir a mejores
resultados que permitan, así como a un mejor soporte.
Integración a través de las unidades de organización no es una tarea trivial. Cuando una
organización reconoce una deficiente y un entorno de apoyo DI, tiende a centrarse en
uno o más de los siguientes factores o recursos:
• Tecnología - La tecnología actual no permite cumplir con los objetivos de negocio;
por lo tanto, las nuevas inversiones deben hacerse para adquirir la tecnología más
reciente.
• Gente - No es una falta de capacidad de gestión, los recursos humanos,
conocimientos, motivación o compromiso.
• Cultura - Históricamente, así es como las cosas han funcionado, por lo que no se
puede cambiar.
47 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
En muchas culturas organizacionales, las personas evitan resaltar los problemas hasta
que ocurre algo drástico. Aquí es donde ayuda BMIS, con su enfoque de sistemas.
Identificar y enfocarse en todos los factores que pueden contribuir al problema puede
resultar en planes de acción que no solo ayuden a resolver el problema, sino que
también establezcan una hoja de ruta para implementar de manera proactiva una
infraestructura efectiva de habilitación y soporte de DI. Este mapa de ruta variará de
una organización a otra, pero es probable que tenga los componentes clave que se
muestran en la figura 17.
48 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
49 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Emerger
Al escuchar el término 'EMERGER', los conceptos que vienen a la mente pueden incluir
la aparición, el desarrollo o la evolución. En modelos comerciales anteriores, podría
haberse llamado 'mejora continua'. Peter Senge llama a esto "aprendizaje". Otra
definición de emerger es "el surgimiento de estructuras, patrones y propiedades
novedosas y coherentes durante el proceso de autoorganización en sistemas
complejos". En BMIS, puede verse como el surgimiento de nuevas oportunidades para
los negocios, nuevos comportamientos, nuevos procesos y otros elementos relevantes
para la seguridad, a medida que evolucionan los subsistemas entre las personas y los
procesos (figura 18). El aspecto de "aprendizaje" se deriva del hecho de que incluso los
sistemas aparentemente caóticos, como en organizaciones bastante nuevas o
situaciones imprevistas, tienden a desarrollar alguna forma de orden. La emergencia en
biología y cibernética a veces crea 'orden del caos' de una manera impredecible.
Emerger como tal no siempre indica mejoras en términos de seguridad. A medida que
surgen nuevas formas espontáneas de hacer las cosas dentro de una organización,
pueden ser positivas o negativas. Por ejemplo, el comportamiento habitual que es
contrario a las políticas y estándares puede evolucionar con el tiempo. Del mismo modo,
el nivel de seguridad puede mejorar a través del acuerdo tácito de las personas sobre
cómo manejar nuevos sistemas o aplicaciones. La forma en que las personas (como un
elemento BMIS) interactúan con los procesos a menudo se caracteriza por emerger, por
lo que es un DI muy poderoso. Es un área que aborda la ambigüedad y la evolución y, si
se maneja bien, puede mejorar la capacidad de la empresa para ajustarse al cambio,
sobrevivir a un evento imprevisto e innovar.
51 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
COMPRENDER EL EMERGER
La naturaleza humana dicta que la ejecución de procesos por personas dentro de una
empresa varía con el tiempo y cada vez que se ejecuta un proceso. Un proceso en sí
mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que
se ejecuta. Esto significa que solo parte del proceso es predecible, mientras que otras
partes pueden tener un elemento de coincidencia. Para poder comprender el impacto
de este hecho en la seguridad de la información, la ejecución de un proceso por personas
se subdivide en las siguientes categorías:
Basado en procedimientos escritos: la ejecución de tareas en función del flujo
específico de acciones definido en un procedimiento oficial
Basado en políticas: la ejecución de tareas basadas en la traducción de reglas de la
política de seguridad de la empresa.
Ad hoc: la ejecución de tareas de forma aleatoria, no cubiertas por un
procedimiento o regla de política.
Cada categoría de ejecución contiene diferentes elementos de incertidumbre
introducidos por las características básicas de la naturaleza humana: la capacidad de
pensar, decidir y reaccionar en diversas situaciones:
Basada en procedimientos escritos: las personas pueden o no cumplir con un
procedimiento; pueden cometer errores cuando siguen un procedimiento o lo
malinterpretan. El procedimiento en sí puede no ser apropiado para cubrir todas las
situaciones posibles, o puede ser muy difícil y confuso de seguir. En algunos casos,
varias personas pueden decidir, sin saber lo que hacen los demás, interpretar los
procedimientos escritos de manera similar. Como resultado, emerge una nueva
forma de manejar el procedimiento.
Las reglas basadas en políticas son más generales que un flujo de procedimiento
específico. Se pueden traducir de manera diferente en situaciones distintas, mal
traducidas o ignoradas. Las reglas pueden ser demasiado estrictas o demasiado
generales, por lo que no son aplicables en situaciones críticas en el tiempo o
proporcionan demasiadas alternativas, por lo que no sirven al alcance de la
seguridad de la información.
La incertidumbre ad hoc se maximiza cuando las personas no reciben instrucciones
de seguir procedimientos o reglas para ejecutar procesos ya que el comportamiento
no se ubica en un marco específico.
El concepto de emerger proviene de muchos campos diferentes, incluyendo la teoría de
sistemas, la teoría de juegos y la naturaleza misma. La teoría del caos también explica el
concepto de emerger en cierta medida. En caos o situaciones descentralizadas o sin
líder, puede surgir o aparecer algún tipo de orden de una manera aparentemente
espontánea y sin una causa obvia. Del mismo modo, las personas pueden decidir
adoptar nuevas tecnologías o procesos individualmente, por ejemplo, cuando utilizan TI
en el hogar de una manera diferente a cómo se usa en el lugar de trabajo. La motivación
para que las personas lo hagan puede estar en los factores humanos y la conveniencia
52 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Factores Humanos
Factores humanos es el DI que conecta los elementos de las personas y la tecnología. Es
un campo extensamente documentado que cubre muchas áreas tales como:
La ciencia de la comprensión de las propiedades de la capacidad humana, la
ergonomía y los límites de las habilidades humanas.
Aplicación de esta comprensión al diseño, desarrollo y despliegue de tecnologías y
servicios.
Arte de asegurando la aplicación exitosa de ingeniería de factores humanos a un
programa.
El DI de los factores humanos (figura 19) se ha denominado interacción persona-
computadora (HCI), la interfaz hombre-máquina y la ergonomía. En la práctica, gran
parte del trabajo sobre facilidad de uso y facilidad de uso se relaciona con esta DI.
53 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Los factores humanos DI también incluye el estudio de cómo los humanos interactúan
con la tecnología y el desarrollo de herramientas que facilitan el logro de objetivos
específicos, en este caso, los objetivos de seguridad de la información. Dentro de BMIS,
los factores humanos DI interactúan con los elementos de personas y tecnología. Esta
relación se debe al hecho de que las debilidades en la seguridad pueden ocurrir
fácilmente debido a la forma en que las personas usan la tecnología y su comprensión
de la necesidad y la adhesión a los conceptos de seguridad. Del mismo modo, la
tecnología como elemento puede mejorar en gran medida la calidad del trabajo y la
forma en que las personas realizan sus tareas.
En general, los tres objetivos principales dentro de los DI de los Factores Humanos se
relacionan con el operador humano (cuerpo y mente) y los sistemas circundantes que
interactúan con el usuario humano. Para comprender y manejar la tensión en esta DI, el
primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción
humano-sistema de un sistema de seguridad existente. Posteriormente, hay cinco
enfoques diferentes que pueden utilizarse para introducir mejoras:
Diseño del equipo: cambia la naturaleza del equipo físico con el que trabajan los
humanos.
Diseño de tareas: se enfoca más en cambiar lo que hacen los operadores que en
cambiar los dispositivos que usan. Esto puede implicar la asignación de una parte
o la totalidad de las tareas a otros trabajadores o a componentes automatizados.
Diseño ambiental: implementa cambios tales como iluminación mejorada, control
de la temperatura y reducción del ruido en el entorno físico donde se lleva a cabo
la tarea.
54 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
55 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Las personas trabajan mejor y cometen menos errores (lo que puede reducir el riesgo
de seguridad) cuando se encuentran en un entorno familiar. Continuando con el tema
del vehículo, no existe una norma real que prescriba cuál de las palancas de control en
el costado del volante realiza qué función, incluso dentro de un solo fabricante. Cuando
un conductor se mueve de un vehículo a otro, incluso si esto ocurre con regularidad, es
muy fácil encender los faros cuando se trata de lavar el parabrisas o indicar un giro
cuando se desea encender las escobillas del limpiaparabrisas.
Además de la ergonomía, existen problemas tales como la facilidad de uso que
contribuyen a los riesgos de seguridad que una empresa puede enfrentar en los DI de
Factores Humanos. Por ejemplo, una empresa puede invertir en tecnología robusta para
proteger la información, como los sistemas de protección contra intrusos (IPS), firewalls,
soluciones de prevención de pérdida de datos (DLP) y correlacionadores de eventos. Si
bien muchos de estos dispositivos están preconfigurados con políticas estándar,
requieren personalización basada en el riesgo de la empresa y el diseño de la red. Los
errores en la configuración pueden hacer que las máquinas se comporten de forma
inesperada, lo que da como resultado, incidentes de seguridad imprevistos. Del mismo
modo, es importante que el personal de seguridad operacional esté capacitado en el
monitoreo de estos dispositivos para que cuando ocurra un incidente, se note tan
pronto como sea posible. En muchos casos, la configuración de seguridad inicial de una
solución de tecnología lista para usar no es lo que debería ser, debido a que la
configuración inicial se considera el 'mínimo indispensable' para dar cabida al mayor
número de clientes posible. Del mismo modo, introducir nuevas reglas y personalizar
una solución de seguridad puede no ser intuitivo.
Las tecnologías implementadas por la organización de seguridad también deben
considerar la aceptación del usuario. Si las tecnologías diseñadas para proteger los
activos de información comienzan a reprimir la productividad o interrumpen las
operaciones diarias, no pueden considerarse eficientes o efectivas. Por lo tanto, es
imperativo que se tenga en cuenta la aceptación del usuario al implementar los
controles. Los factores humanos DI es uno de los motivadores que dan forma al
comportamiento del usuario, mientras que el otro es la cultura DI. Ambas influencias
deben tenerse en cuenta.
Es un hecho conocido que los humanos pueden y controlan los controles de seguridad.
Muchas empresas han implementado las últimas y mejores tecnologías solo para que
los empleados trabajen en torno a los controles. Si bien la última y mejor tecnología es
fantástica, por sí sola puede crear un nuevo riesgo para la empresa: una falsa sensación
de seguridad. Un ejemplo de una falsa sensación de seguridad son los controles actuales
utilizados en los aeropuertos. ¿El público que viaja es realmente más seguro cuando
vuela debido a los procedimientos de seguridad a menudo intrusivos requeridos entre
el check-in y la puerta de embarque, o estos procedimientos de seguridad son
meramente un "espectáculo", sin valor real?
56 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Toda la seguridad en vigor desde los ataques terroristas del 11 de septiembre de 2001
contra varios objetivos estadounidenses no ha logrado identificar al menos dos intentos
terroristas conocidos de alto perfil en los aviones. En ambas situaciones, el presunto
terrorista sabía qué controles de seguridad había en su lugar y los evitaba ya sea
escondiendo materiales en áreas no controladas o usando materiales no líquidos para
explosivos. Este fenómeno se debe parcialmente a Emerger DI y los Factores Humanos
DI. Los perpetradores invirtieron el pensamiento lineal (y reactivo) de la administración
de la seguridad simplemente explotando una combinación de factores y lagunas de
seguridad que no se habían considerado antes. Estudiaron las medidas de seguridad
implementadas y luego intentaron una violación de seguridad en lo que consideraron
un eslabón débil de la cadena. En términos de factores humanos en materia de
seguridad, esto destaca cómo los individuos superarán sistemáticamente las
disposiciones de seguridad existentes.
Como resultado, se implementaron controles reactivos adicionales que pueden hacer
que la gente se sienta segura, pero que en realidad no mitiguen el riesgo de que los
terroristas contrabandeen armas a un avión. De hecho, los controles forzaron la
emergencia. Después del incidente inicial de bombardeo de calzado, muchos
aeropuertos obligaron a los pasajeros a quitarse los zapatos y no transportar líquidos en
un avión. En respuesta, los planes de los terroristas continúan evolucionando y
explotando diferentes áreas en el perímetro donde la seguridad no es tan estrecha,
mientras que la gente común sufre de pies congelados mientras hacen cola. En contraste
con el pensamiento sistémico que aplican los terroristas potenciales, la seguridad
reactiva en los aeropuertos no tiene en cuenta los pensamientos de seguridad holísticos:
agregar más controles y hacer que volar sea más engorroso no aumenta el nivel real de
seguridad.
Como se mencionó anteriormente, la tecnología de la información puede proporcionar
las respuestas, pero las respuestas no pueden reemplazar la formulación de preguntas
de seguridad. Cuando las personas simplemente confían en la tecnología sin entenderla,
incluso las debilidades de seguridad más obvias a menudo se pasan por alto. Esto se
aplica a todos los niveles de la organización:
Los ejecutivos confían excesivamente en la tecnología de la información y otras
soluciones mecánicas para proporcionar la infraestructura de seguridad necesaria.
Los gerentes confían en la existencia de controles basados en la política de
seguridad para garantizar que no haya puntos débiles.
El personal se siente cómodo al no representar una debilidad de seguridad porque
esta es responsabilidad de otra persona, y seguir los procedimientos al pie de la
letra es una salvaguarda razonable.
Los posibles problemas que debe abordar esta DI incluyen, por tanto, entre otros:
No comprender no solo los requisitos de seguridad, sino la razón de ellos.
No apreciar los conceptos de riesgo comercial y el posible impacto de las
deficiencias de seguridad.
57 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
58 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
59 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
3. Usando BMIS
Si bien el modelo integra todos los componentes y actividades dentro de un programa
de seguridad, el uso práctico debe seguir una serie de fases. Este enfoque gradual
asegura que las medidas y soluciones de seguridad existentes se adopten
completamente en BMIS y que las inversiones existentes estén protegidas. Usando BMIS
no se trata de reinventar la rueda, lo que está en su lugar dentro de una organización es
un aspecto positivo que debe ser reconocida y utilizada en consecuencia. Los cambios
en el programa de seguridad que son una consecuencia directa del uso de BMIS
generalmente se explican por sí mismos si las fases se implementan paso a paso.
En esta etapa, BMIS es un concepto nuevo que aún no ha logrado un amplio
reconocimiento. Sin embargo, ISACA está planificando y llevando a cabo estudios de
casos de la vida real que se publicarán oportunamente para permitir decisiones
informadas sobre el uso de BMIS en programas de seguridad prácticos. La siguiente
sección, por lo tanto, aborda las fases genéricas que son necesarias para:
60 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
En la práctica, el uso de BMIS dará lugar a muchos cambios. Inicialmente, los elementos
estáticos del programa de seguridad se incorporan al modelo. Esto incluye conceptos y
políticas, así como tecnología. Los estándares que están en uso o los marcos en TI
forman parte de este ejercicio de llenar BMIS con lo que ya existe. Paso a paso, se
formará una imagen que resalta claramente las áreas fuertes y débiles en términos de
elementos y DI. Como ejemplo, el elemento de seguridad de la Organización puede ser
un punto fuerte, pero el elemento Personas y los factores humanos DI pueden ser
puntos débiles en la imagen general. En este punto, el modelo muestra su verdadero
valor: Las debilidades de seguridad se pueden observar en cualquier parte de la
empresa, pero la causa raíz puede estar en un área completamente diferente. El trabajo
sistémico en los elementos y DI ayuda a descubrir estas relaciones de causa y efecto, y
se pueden definir acciones para mejorar las debilidades.
Posteriormente, cualquier cambio en el negocio puede enviarse a BMIS y traducirse en
cambios de seguridad adaptativos. El modelo, a su vez, visualizará la retroalimentación
que se produce dentro del sistema general y mostrará claramente lo que significa un
cambio de negocio y lo que se debe hacer para internalizarlo en el programa de
seguridad. Del mismo modo, los modelos de conducta emergentes, la tecnología y las
tendencias en la gobernanza pueden incorporarse al modelo, que los abordará dentro
del programa de seguridad.
61 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Los siguientes párrafos ofrecen un breve resumen del análisis del programa de seguridad
existente. Hay muchas otras maneras de realizar este análisis, y cualquiera de ellas
puede usarse. Para maximizar la eficiencia, los gerentes de seguridad también deben
consultar los informes de auditoría interna, los informes de auditoría externa, los
informes de certificación y otras fuentes de información que puedan ser relevantes para
la seguridad. En las grandes empresas, puede ser aconsejable contar con la ayuda de
expertos externos para asegurar que haya un resultado claro y sin ambigüedades de la
fase de análisis.
Leyes y regulaciones
Como primer paso, el negocio debe analizarse en términos de ubicación geográfica,
relaciones con los clientes y proveedores, y la cadena de suministro en general:
¿Dónde se realiza el negocio? ¿Cuáles son los países relevantes?
¿Hay países de alto riesgo en términos de leyes y regulaciones relacionadas con
la seguridad?
¿Hay “valores atípicos‘’, por ejemplo, clientes o proveedores que se encuentran
fuera de los principales países en los que se hacen los negocios?
62 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Una vez que se han identificado los países, regiones y otros impulsores comerciales
distintivos, las leyes y regulaciones aplicables se pueden asignar al programa de
seguridad y luego a BMIS. Como ejemplo, una empresa que realice negocios en los
Estados Unidos y Europa encontrará ambos conjuntos de leyes de privacidad de datos y
protección de datos aplicables: EE. UU. sigue un enfoque, mientras que la mayoría de
los países europeos favorecen una perspectiva de privacidad más estricta. El programa
de seguridad corporativa debe tener en cuenta ambos enfoques para proporcionar
seguridad en términos de la ley. Esto no lo hace solo la seguridad de la información: el
programa normalmente se basará en la estrategia y el diseño de la organización
existente que define y regula la privacidad a nivel de la empresa. Es cierto que puede
ser una tarea desalentadora identificar y comprender las leyes y regulaciones para
cualquier cantidad de países. Sin embargo, existen aspectos comunes en términos de
seguridad de la información que permitirán a la administración definir estándares
mínimos.
Las leyes y normativas aplicables generalmente se asignarán al elemento Organización
del modelo. Se gestionan y supervisan como parte de la estructura organizativa de
seguridad y cualquier cambio se desencadenará desde dentro de la estructura
organizativa. En este sentido, las leyes y regulaciones relevantes para la seguridad no
son diferentes de cualquier otro requisito obligatorio en otras partes del negocio. La
posterior interpretación de las leyes y reglamentos reside en el DI de Gobierno, como la
empresa asegura gradualmente que cualquiera y todas las normas internas están
alineados con los requerimientos externos.
Gobierno Corporativo
En algunas jurisdicciones, las leyes y regulaciones se complementan con reglas o códigos
de gobierno empresarial. Esto último puede tener un impacto en el programa de
seguridad si una empresa decide adherirse a ellos, o si se requiere el cumplimiento del
gobierno corporativo por otros motivos (listados, calificaciones, etc.). Desde la
perspectiva de BMIS, es la propia empresa la que acepta y adopta reglas externas no
vinculantes y las hace parte de la estrategia de la organización. El programa de seguridad
debe tener en cuenta las reglas y leyes y regulaciones no vinculantes como parte de la
adhesión al gobierno corporativo general, tal como se ha definido a nivel estratégico.
En términos de identificar los elementos de la gobernanza de TI y la gobernanza de la
seguridad, el enfoque más simple es utilizar el marco COBIT como un lenguaje común
para expresar los objetivos y requisitos de gobernanza. Como resultado, la gestión de la
seguridad debe abordar:
Reglas de gobernanza o directrices adoptadas por la empresa.
Partes relevantes para la seguridad y relevantes para TI de estas reglas o
directrices.
Asignación de elementos de gobernanza relevantes para la seguridad al marco
COBIT.
63 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Cumplimiento de seguridad
Además de los requisitos de seguridad específicos en la legislación y la regulación, las
empresas deben garantizar un nivel general de cumplimiento de seguridad. Este es un
resultado directo de otros requisitos comerciales, por ejemplo, requisitos contables y
financieros y de auditoría externa. Como ejemplo, la Ley Sarbanes-Oxley de Estados
Unidos de 2002 exige un sistema de control interno sobre los informes financieros.
La mayoría de las empresas dependen en gran medida de las TI para implementar y
llevar a cabo su proceso de elaboración de informes financieros. Se deduce que los
controles de TI y el cumplimiento son factores críticos en el cumplimiento general.
Existen muchos otros requisitos de cumplimiento que pueden variar entre las empresas
y los sectores industriales, por ejemplo:
Auditoría financiera, contabilidad y control
Gestión del riesgo, específicamente riesgo operacional
Archivo y recuperación de datos
Los requisitos de cumplimiento normalmente se relacionan con dos elementos de BMIS:
Organización y Tecnología. En algunos casos, una asignación al elemento de personas
puede ser necesaria si la conducta personal es un tema de cumplimiento. El
reconocimiento de alto nivel de los requisitos de cumplimiento es parte de la DI
gobernante, en línea con las leyes, regulaciones y gobierno corporativo. Los niveles más
bajos de requisitos de cumplimiento, como en la gestión de datos, tienen más
probabilidades de pertenecer a la Arquitectura DI. El cumplimiento requerido a nivel
personal debe reflejarse en la cultura DI, como cuando se espera que las personas se
comprometan personalmente con un código de ética u otro documento que exija
responsabilidad personal y el cumplimiento de las normas.
64 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
65 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Al usar BMIS, los gerentes de seguridad deben trabajar gradualmente a través de los diversos
componentes del sistema de administración de la seguridad de la información y recopilar
información sobre las soluciones, herramientas y procesos operativos resultantes. Esta lista no
tiene que ser exhaustiva ya que la naturaleza dinámica de BMIS permite cambios y adiciones
posteriores.
66 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Las soluciones existentes, una vez integradas, eventualmente formarán un patrón que
se reflejará en los elementos y DI, como se muestra en la figura 23. Cada elemento
cubrirá una cantidad de soluciones, al igual que cada DI. Como un efecto colateral
conveniente, al observar cada elemento/DI y cómo se rellena, casi de inmediato se
mostrarán las brechas que existen en el panorama de la solución de seguridad. Sin
embargo, el número de flechas en la figura 24 indica claramente que las brechas en un
elemento o DI pueden ser difíciles de cerrar directamente. Una sección posterior,
Identificando Fortalezas y Debilidades, describe un enfoque pragmático para identificar
y cerrar las brechas de seguridad que son visibles después de poblar el BMIS.
Después de rellenar el modelo, es útil configurar las asignaciones de las soluciones de
seguridad existentes en formato tabular, como se muestra en la figura 24. Las tablas son
una herramienta importante para asignar posteriormente la responsabilidad de las
tareas y acciones que resultan de la vista de BMIS.
68 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO
En muchas empresas, las brechas de seguridad interna y las 'amenazas internas' han sido un importante desafío
de seguridad durante años. De hecho, hasta tres cuartas partes de los ataques exitosos son de naturaleza interna
o se inician desde dentro de la empresa. El problema es complejo y es de naturaleza sistémica:
Los ataques internos son comparativamente raros, no muy diferentes de los desastres naturales u otros
eventos de baja frecuencia.
Un 'insider' por definición es un usuario legítimo con derechos de acceso excesivos o en posesión de
una nueva forma de ataque.
Como resultado, las amenazas de seguridad interna se ven a menudo tan impredecible y por lo tanto difícil de
manejar. Esto lleva a la alta gerencia a concluir que estos ataques no se pueden prevenir y no se toman más
medidas. Si, y dónde, ocurre un ataque interno, es probable que la administración sea reactiva, tratando de
contener el problema. Al mismo tiempo, el foco de las soluciones tecnológicas se convierte en ataques externos,
un elemento más tangible y manejable. En algunas organizaciones, esto puede ir acompañado de una cultura
de "confianza" que desaliente a hablar sobre la posibilidad de ataques internos.
La solución en organizaciones exitosas abarca muchos aspectos de la seguridad. BMIS es una herramienta ideal
para permitir la integración de una solución integral que aborda los ataques internos en todos los frentes. Como
se muestra en los párrafos siguientes, la solución es completamente sistémica y su éxito no se puede atribuir a
ninguna práctica de un solo paso, requiere mucho trabajo reducir la cantidad de ataques internos en cualquier
entorno.
El primer paso en la solución se encuentra en el elemento de Personas del modelo. Es aquí donde los individuos
actúan en contra de las reglas y en contra del interés de la empresa. Desde un punto de vista sistémico, su
motivación puede ser la ganancia o la codicia, el descontento general con el lugar de trabajo o la administración,
la falta de reconocimiento personal o cualquier combinación de estos motivadores. Se han sugerido los
siguientes pasos prácticos para abordar estos motivadores potenciales:
Prácticas mejoradas de recursos humanos (HR): detección previa al empleo, supervisión de empleados,
programas de asistencia a los empleados
Programas de capacitación y educación en cumplimiento y comportamiento responsable
No hay excepciones para 'artistas estrella', introducción y mantenimiento de claras limitaciones a lo que
los empleados pueden hacer
Aplicación de las mejores prácticas de seguridad de la información, incluida la gestión de identidad y
acceso
Estrategia abierta de divulgación y acción legal: publicar y enjuiciar
Para integrar la solución global en el modelo, los pasos deben asignarse a los elementos y las DI en una base
"óptima".
70 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EJEMPLO (cont.)
Las prácticas de recursos humanos tales como la selección de empleados residen en el elemento de
organización. Si bien los procesos de recursos humanos serían externos a BMIS, su uso en la contratación
relacionada con la seguridad es un hecho. Parte de lo que hay que hacer antes y durante el empleo de una
persona con derechos de acceso de gran alcance está en el DI de Gobierno, como procesos estarán sujetos a
restricciones provenientes de recursos humanos.
En un contexto comercial, BMIS puede ayudar a identificar patrones conspicuos en el empleo, como la afluencia
de individuos bastante jóvenes con bajos sueldos, o el posicionamiento de puestos de trabajo de seguridad
crítica en un departamento interno sin promoción, no demasiado apreciado. Esto ayudará a identificar
problemas potenciales de emergencia, como cuando los empleados tienen un sentido de descontento que
posteriormente se convierte en un plan para atacar a la empresa.
La parte de formación y la educación de resolver el problema ataque interno a menudo se coloca en el elemento
de Organización y el DI de Gobierno. Tanto la capacitación como otras formas de educación refuerzan lo que la
organización espera de los empleados, pero es poco probable que sea una disuasión para un atacante
determinado. Para la gran mayoría de los empleados, la formación y la educación refuerzan lo que ya saben, sin
embargo; estas medidas dan forma claramente la Cultura DI, así, en la prestación del ‘mensaje correcto’ del
elemento Organización al elemento de personas.
En la práctica, la aplicación de las normas existentes, sin excepciones, se sitúa en la cultura DI. El elemento
Organización debe comunicar el mensaje apropiado para garantizar que, dentro del elemento Personas, la regla
"sin excepciones" se entienda claramente. En términos sistémicos, la aplicación de la regla ‘sin excepciones’
refuerza aún más la DI de Gobierno y el elemento de proceso. También influye en el DI de Aparición, para
prevenir para prevenir el surgimiento de prácticas que pueden asociarse con individuos que se consideran fuera
del conjunto de reglas normales.
Las mejores prácticas de seguridad de la información deben subdividirse en sus componentes. La integración en
BMIS probablemente estará a nivel de elemento de la Organización (a través de políticas y estándares), dentro
del elemento Tecnología (aplicaciones que soportan IAM) y dentro del elemento Proceso (procesos que enlazan
a Recursos Humanos y administración general).
El último paso hacia la integración completa de BMIS abarca el proceso de divulgación y enjuiciamiento, que es
un componente importante de la reducción general de los ataques internos. En primera instancia, esta medida
de seguridad se ubica obviamente dentro del elemento de la Organización, ya que requiere decisiones de alta
dirección y reglas fuera del BMIS. Sin embargo, comunicar y hacer cumplir este curso de acción tendrá un
impacto inmediato tanto en la DI que gobierna como en la DI de la cultura.
En el ejemplo anterior, la solución existente, tal como se muestra en la lista con viñetas,
se integra a BMIS, y cualquier brecha se volverá visible una vez que se analice el
problema de los ataques internos de manera sistémica.
71 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
72 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
73 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
74 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Para cada estándar, los gerentes de seguridad deben asignar los capítulos o cláusulas
individuales a los elementos y DI dentro de BMIS. En la práctica, esto dará lugar a una
serie de relaciones entre el modelo y el contenido detallado del estándar de seguridad
de la información, que también ayudará a identificar las responsabilidades y los roles
dentro de la organización de seguridad de la información. Por ejemplo, la (s) persona (s)
responsable (s) de la evaluación del riesgo desde la perspectiva de los estándares se
asignarían a partes del elemento de la Organización y la DI gobernante.
Gestión general de TI
Además de los estándares específicos de seguridad de la información, muchas empresas
han adoptado e implementado orientaciones de gestión
Los gerentes de seguridad
de TI más genéricas, como Biblioteca de Infraestructura
de Tecnología de la Información (ITIL). Si bien estos deben considerar el marco
estándares son mucho más amplios que la mera COBIT, que facilitará la
seguridad, a menudo contienen componentes alineación entre la
importantes que deben considerarse al trabajar en la administración general de TI
seguridad de la información. Por lo tanto, BMIS debe y BMIS, como una
alinearse con estos estándares y marcos más genéricos
herramienta conveniente.
de forma similar a los estándares específicos (ver la
sección anterior).
Los gerentes de seguridad deben considerar el marco COBIT, que facilitará la alineación
entre la administración general de TI y BMIS, como una herramienta conveniente. La
Figura 29 ilustra cómo se han mapeado la mayoría de los estándares reconocidos a
COBIT, que puede actuar como una bisagra entre los estándares y el modelo.
75 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Análisis Situacional
El primer paso para identificar fortalezas y debilidades es un análisis exhaustivo de la
situación basado en el BMIS completo y estandarizado. Dado el enfoque sistémico que
está en el corazón del modelo, cualquier elemento o DI es un buen punto de partida.
Para cada elemento, el modelo debe contener la información mínima agregada
anteriormente:
76 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Para cada elemento y DI, este ejercicio proporcionará una imagen de lo que se ha hecho
en materia de seguridad y el nivel de madurez general. Si bien las políticas, estándares
y controles generales suelen ser fáciles de identificar y enumerar, es probable que los
requisitos de las normas de seguridad de la información y los estándares generales de
TI sean más completos, pero convenientemente enumerados en la tabla de contenido y
estructura de las normas. La Figura 31 muestra el resultado final de este primer paso en
el análisis situacional. Una vez que estas tablas se hayan consolidado, las repeticiones
posteriores del análisis situacional podrían ampliar la información, quizás en forma de
cuadros de mando equilibrados. Sin embargo, el principio básico sigue siendo el mismo.
77 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
El segundo paso para analizar la situación es voltear las tablas en términos de cada
elemento. Un ejemplo es el requisito ISO 27001 de tener una política de seguridad, que
es probable que aparezca en varias tablas:
Elemento de organización
Elemento de personas
Cultura DI
En muchos casos, el mismo artículo, en este caso, la política, recibirá una calificación
diferente, según el punto de vista. Por ejemplo, una política de seguridad de la
información puede verse como una fortaleza en el elemento de la Organización, pero
como una debilidad en términos de la Cultura DI. Del mismo modo, los folletos de
seguridad de los empleados pueden ser un punto fuerte en el elemento Personas, pero
una debilidad en el elemento Organización. Estas diferencias serán aún más visibles en
soluciones técnicas o procedimientos detallados. Al trabajar en las tablas, el resultado
puede parecerse a la figura 32.
78 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
La Figura 34 muestra cómo una debilidad es visible por primera vez en el elemento
Personas. En este caso, el primer síntoma es que las personas usan contraseñas débiles
y se ha compartido la contraseña. Ambos síntomas definitivamente no son apropiados
en términos de seguridad de la información, pero la causa principal no es una cuestión
de preferencias individuales o empleados involuntarios. Como segundo paso, la cultura
DI se puede dejar fuera de la imagen ya que normalmente existen estructuras
organizativas y políticas de contraseñas. La configuración de la contraseña práctica es,
sin embargo, una cuestión de contraseñas tecnología de cómo se crean, solicitó,
almacenados, etc. Parece que los usuarios, por alguna razón, tienen dificultades con la
forma en que las contraseñas son manejadas por el elemento de la tecnología.
80 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
81 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Esta secuencia lógica debería ajustarse finalmente a las tablas anteriores (figuras 30 y
32) que analizan cada solución de seguridad de la información y su control desde el
punto de vista de los elementos y las DI. La parte del análisis de la causa raíz del trabajo
a través de BMIS debe ser una imagen especular de las observaciones situacionales
iniciales. Por ejemplo, cuando la detección de intrusión se reconoce como una
"debilidad trivial" en el ejemplo anterior, esto debería encajar con la vista inicial sobre
la detección de intrusos en la figura 32. En realidad:
Los tecnólogos ven la detección de intrusión como una "solución integral", que es
desde una perspectiva de herramienta estándar.
La arquitectura es neutral porque, en teoría, la herramienta debería funcionar
bien.
El DI de Habilitación y Soporte muestra problemas percibidos por los propietarios
del proceso en los IDS operativos que son los únicos indicadores (desde un punto
de vista situacional) de que algo anda mal.
La DI de los factores humanos es neutral porque los usuarios no tienen forma de
saber qué es lo que los protege (o no).
82 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Este ejemplo muestra claramente que las cosas observadas en el análisis situacional
muestran solo una parte de la imagen. El análisis de causa raíz revela por qué está
presente la deficiencia en la DI de Habilitación y Soporte y los motivos subyacentes. De
manera similar, el ejemplo de las deficiencias de gestión de ID se puede trabajar a partir
de las observaciones iniciales (situacionales) a los pasos lógicos que conducen a una
conclusión sensata.
83 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
84 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
85 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
86 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Es poco probable que una inversión singular en políticas de actualización sea suficiente
para detener los ataques internos. Por lo tanto, el segundo paso es crear conciencia
mediante la inversión en programas relacionados, como se muestra en la figura 39. Esto
no cambia las estructuras humanas u organizacionales, por lo que se coloca en la Cultura
DI del modelo. Después de los primeros dos pasos para mejorar la seguridad de la
información, tanto el elemento de la organización como la Cultura DI han resultado ser
objetivos útiles para las inversiones en seguridad.
Dentro del ciclo circular que determina el número de ataques internos, hay más puntos
que permiten la interacción con el sistema en general, como se muestra en la figura 40.
La tasa de detección de ataques es una defensa importante contra ataques oportunistas
o de baja intensidad, y muchos perpetradores pensarán dos veces antes de atacar, si la
probabilidad de ser atrapado es alta. Una inversión en detección de intrusos, como parte
de la arquitectura de seguridad general, ayudará a reducir la cantidad total de intentos
o ataques exitosos. A diferencia de las inversiones en políticas y sensibilización, esta
acción está diseñada para influir directamente en el ciclo sistémico. Asimismo, la
inversión en la exploración del sistema y de nivel de aplicación para los ataques se centra
la atención en lo que está sucediendo dentro del bucle y reduce el número de
vulnerabilidades existentes. En combinación, estas dos medidas de seguridad
arquitectónicas aumentan el nivel de protección dentro del sistema.
87 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
88 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
89 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
Conclusión
A medida que los profesionales de seguridad continúan enfrentando desafíos
cambiantes, es necesario examinar nuevas soluciones a los problemas de seguridad de
la información. Comprender el concepto de BMIS y sistemas en relación con los
programas de seguridad de la información puede ser beneficioso para cualquiera que
necesite administrar el riesgo de seguridad de la información. ISACA desarrollará
informes de investigación adicionales que exploran las DI y su impacto en el rendimiento
del programa de seguridad de la información. Además, se ofrecerá una guía práctica que
se centrará en el uso del modelo en diferentes escenarios. BMIS también servirá como
base para el próximo marco de seguridad de COBIT.
90 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información