BMIS

“AÑO DEL DIÁLOGO Y LA RECONCILIACIÓN NACIONAL”
UNIVERSIDAD NACIONAL DEL SANTA
FACULTAD – INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA
ASIGNATURA : Auditoria de Sistemas
TEMA : El modelo de negocio para la seguridad de la
información
INTEGRANTES :
 ACOSTA GONZALES, Celeste
 MEZONES NOVOA, Steven
 SANCHEZ VIDAL, Marita
 SÁNCHEZ YLQUIMICHE, Gershon
 VALDEZ YRRIBAREN, Josdy
DOCENTE : Ing. Camilo Suárez Rebaza
CICLO : X
ÍNDICE
ÍNDICE ......................................................................................................... I
EL MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA
INFORMACIÓN..................................................................................... 1
1. INTRODUCCIÓN ..................................................................................... 1
Modelos ...............................................................................................................................3
Frameworks .......................................................................................................................4
Estándares ..........................................................................................................................4
Combinación de Modelos, Frameworks y Estándares ....................................5
Estado de seguridad .......................................................................................................5
Los resultados de seguridad de la información .................................................7
2. MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA INFORMACIÓN ..... 9
Elementos BMIS ............................................................................................................ 10
Organización ...................................................................................... 10
Proceso .............................................................................................. 18
Tecnología ......................................................................................... 20
Personas ............................................................................................ 21
Interconexiones dinámicas BMIS .......................................................................... 23
Gobernante ....................................................................................... 24
Cultura ............................................................................................... 27
Arquitectura ...................................................................................... 35
Activación y Apoyo ............................................................................ 42
Emerger ............................................................................................. 51
Factores Humanos ............................................................................. 53
3. Usando BMIS ....................................................................................... 60
En balance: Analizando el programa de seguridad existente......................... 61
Leyes y regulaciones ............................................................................ 62
I Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
Gobierno Corporativo .......................................................................... 63
Cumplimiento de seguridad ................................................................. 64
Otros componentes del programa de seguridad ................................... 64
Poblando BMIS: Medidas de seguridad existentes y soluciones ................... 65
Recopilación de información ................................................................ 65
Integrando soluciones individuales ...................................................... 66
Integrando soluciones administradas................................................... 71
Alineación de estándares y marcos para BMIS .................................................... 73
Gestión de seguridad de la información ............................................... 73
Gestión general de TI .................................................................................................... 75
Diagnóstico BMIS: Identificación de fortalezas y debilidades ........................ 76
Análisis Situacional.............................................................................. 76
Análisis de causa raíz........................................................................... 79
Configuración BMIS en Movimiento: Mejora del trayecto.............................. 83
Conversando procesos de seguridad en subsistemas de seguridad........ 84
Acciones y pasos de mejora ................................................................. 86
Aprovechando la dinámica del sistema ................................................ 89
Conclusión......................................................................................................................... 90
II Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
14 de octubre de 2018
EL MODELO DE NEGOCIO PARA LA SEGURIDAD DE

LA INFORMACIÓN
1. INTRODUCCIÓN
En enero de 2009, ISACA presentó a la comunidad de seguridad al Modelo comercial
para la seguridad de la información. La publicación ofreció a los profesionales de la
seguridad una mirada hacia un nuevo enfoque para una gestión efectiva de la seguridad
de la información. BMIS se centra en el entorno empresarial dentro del cual la seguridad
de la información opera entre otros procesos comerciales. Este enfoque particular
proporciona una visión más amplia de los procesos y sistemas que impulsan el valor
dentro de la empresa que impactan o se ven afectados por la seguridad de la
información.
Como una profesión relativamente joven, la seguridad de la información ha tenido
dificultades para cumplir los objetivos comerciales en un entorno de riesgo rápidamente
cambiante. Aunque los profesionales de la seguridad han logrado mantener a raya
muchos ataques potenciales, ha habido varias brechas de seguridad costosa y bien
publicitada que han causado que algunos se pregunten cuán efectivos son los programas
de seguridad de la información. Desde una perspectiva empresarial, los objetivos
principales de cualquier empresa suelen estar muy alejados del mundo técnico de TI y
la seguridad de la información. Para cerrar la brecha entre lo que hace la empresa y
cómo esto es respaldado por una sólida seguridad, BMIS realinea el contenido técnico
con el pensamiento empresarial y un punto de vista estratégico.
Para ser justos, los profesionales de seguridad de la información han hecho un trabajo
encomiable dados los pocos recursos disponibles. Los presupuestos bajos, el personal
limitada y el acceso restringido al apoyo ejecutivo son obstáculos comunes que
enfrentan los profesionales de la seguridad de la información al tratar de proteger los
activos de información, minimizar los riesgos y ofrecer valor al negocio. Agregue a esto
un entorno regulatorio continuamente cambiante y constantemente surjan nuevos
riesgos y es fácil ver por qué la seguridad de la información ha tenido dificultades para
sobrevivir como una función. Estos obstáculos en el trabajo de seguridad del día a día
muchas veces fruto de un malentendido fundamental. Aunque los líderes de la
organización son conscientes de los riesgos y están dispuestos a abordar los riesgos de
manera práctica, la complejidad de la seguridad de la información requiere habilidades
y conocimientos específicos. En la mayoría de los casos, los expertos en seguridad
encuentran difícil articular el valor que la seguridad de la información puede aportar al
negocio garantizando que los recursos de información no solo estén protegidos de
aquellos que no deberían tener acceso a ellos, sino también que la información esté
disponible y sea precisa para aquellos, quien debería tener acceso. BMIS proporciona el
marco y la mentalidad para estructurar las comunicaciones entre la alta gerencia y los
profesionales de la seguridad.
1 Ingeniería de Sistemas e Informática – Ing. Camilo Suárez Rebaza – El modelo de negocio para la seguridad de la
información
La conciencia de la necesidad de seguridad de la información ha crecido notablemente,

posiblemente debido a aumentos tanto en la regulación como en la actividad maliciosa.
Como resultado, algunas empresas han creado programas de seguridad, colocando a
gente de TI -algunos de los cuales pueden tener poca experiencia en seguridad- a cargo
de la nueva iniciativa. En otras empresas, los profesionales de seguridad han sido traídos
específicamente para resolver problemas existentes. Otras empresas han recurrido a
consultores externos para diseñar, implementar y mejorar sus programas de seguridad
de la información. Estas iniciativas, aunque positivas en sí mismas, necesitan un marco
más amplio para alinearlas con los objetivos comerciales. Tanto el gasto de seguridad
como el trabajo en medidas de seguridad específicas requieren un caso comercial claro
que pueda ser corroborado en cualquier momento por la alta gerencia.
Hasta ahora no ha habido un modelo holístico o dinámico para que los gerentes de
seguridad lo usen como guía. Hay muchos estándares que se pueden usar para
establecer puntos de referencia y proporcionar dirección, y hay tantos Frameworks que
pueden servir como guías útiles para la implementación, pero no ha existido un modelo
general que pueda existir en cualquier empresa, independientemente de su ubicación
geográfica, industria o tamaño, regulación o protocolo existente.
Muchas personas pueden pensar que están en el camino correcto porque han alineado
su programa con un estándar o marco existente. Si bien estas avenidas pueden llevar al
profesional de la seguridad en la dirección correcta, falta un componente esencial. Los
Frameworks y estándares han ayudado a abordar necesidades específicas, pero no han
proporcionado una solución integral que examine toda la empresa y estudie cómo la
misión de la organización afecta el programa de seguridad y viceversa. Para comprender
el panorama general, los gerentes de seguridad de la información deben tener una visión
más amplia.
BMIS llena este vacío y aborda el programa de seguridad a nivel estratégico o comercial.
El modelo permite a los gerentes de seguridad obtener una visión amplia de lo que está
sucediendo en la empresa, lo que les permite tratar mejor el riesgo de la información
mientras ayuda a la administración superior a alcanzar sus objetivos. Al observar el
programa de seguridad desde una perspectiva de sistemas, BMIS proporciona un medio
para que los profesionales de seguridad consideren áreas que pueden no haberse
contabilizado en los estándares existentes. BMIS también proporciona un mecanismo
para que los profesionales de seguridad internalicen el hecho de que surgen nuevas
amenazas y nuevos ataques regularmente.
Para comprender el modelo, es importante distinguir entre modelos, estándares y
Frameworks. Si bien BMIS puede ayudar a superar algunas de las dificultades conocidas
en materia de seguridad de la información, es principalmente un modelo que debe ser
respaldado por estándares y Frameworks adicionales.
información
Modelos
Si bien hay muchas definiciones para la palabra 'modelo', todas describen la imitación o
la representación de una manera u otra. Una definición que se utiliza a menudo para los
modelos teóricos es "Una descripción esquemática de un sistema, teoría o fenómeno
que da cuenta de sus propiedades conocidas o deducidas y puede utilizarse para un
estudio más profundo de sus características". Se puede pensar en un modelo como una
descripción teórica de la forma en que funciona un sistema. Sin embargo, a menudo
debe simplificarse hasta cierto punto para ser útil en la práctica.
En general, los modelos deben ser flexibles para satisfacer las necesidades del mundo
de los negocios. Necesitan ser probados a veces para asegurarse de que todavía son
aplicables y que se ajusten al propósito previsto, y deben incorporar cambios en los
sistemas y las empresas en las que existen. Es importante recordar que los modelos son
descriptivos, pero no normativos. Por lo tanto, un modelo de seguridad general como
BMIS debe ser la base de todos los estándares y Frameworks aplicados en el campo de
la seguridad de la información. Al mismo tiempo, BMIS debe ser capaz de acomodar
cambios rápidamente y destacar las consecuencias para la empresa.
Los modelos a menudo son utilizados por las empresas para fomentar la innovación y
maximizar el valor generado a través de la innovación o el cambio. Se pueden usar
dentro de una empresa para traducir la estrategia y la misión en conceptos y pasos que
se aplican a procesos o entidades de la organización. Los modelos pueden ayudar a
definir un objetivo y crear el plan para llegar allí. Empresas como IBM, Xerox y Fujitsu
han utilizado modelos durante años para mejorar las cadenas de valor. De hecho, en un
plan de negocios, el modelo puede ser más rentable para la empresa que la tecnología
misma. Un ejemplo es el plan operativo para la copiadora Xerox 914.
Xerox había creado una nueva tecnología que era superior a otros productos de copia,
pero era de seis a siete veces más costosa que la competencia. Después de ser rechazado
por grandes empresas por asociaciones de comercialización, Xerox decidió comercializar
la tecnología con un nuevo modelo de negocio. En lugar de vender productos y confiar
en el servicio para obtener ganancias, Xerox alquiló el equipo a los clientes y luego cobró
una tarifa por copia de más de 2.000 copias.
BMIS crea oportunidades para Debido a que la calidad que la tecnología

que el programa de seguridad de de Xerox trajo al campo fue tan superior
a la de su competencia, los clientes
la información se establezca
aumentaron la cantidad de copias que
como un habilitador empresarial hicieron, lo que resultó en una tasa de
sólido al considerar el impacto crecimiento anual de 12 años de 41 por
de la seguridad en el negocio. ciento para la empresa.
información
Así como el modelo comercial impulsó a Xerox al extraer valor económico para la
empresa a través de tecnología innovadora, BMIS crea oportunidades para que el
programa de seguridad de la información se establezca como un habilitador empresarial
sólido al considerar el impacto de la seguridad en el negocio.
Frameworks
Los Frameworks proporcionan estructura. Se los puede considerar como el sistema
esquelético sobre el que se puede construir el cuerpo de un programa de sonido. En
general, los Frameworks son de naturaleza operativa y proporcionan una descripción
detallada de cómo implementar, crear o administrar un programa o proceso. Los
Frameworks generalmente están basados en principios y abiertos a la mejora continua.
Como resultado, los Frameworks generalmente se basan en estándares subsidiarios
para 'hacerlo realidad', y se complementan con guías de implementación y otros
documentos detallados.
Los Frameworks son herramientas indispensables que pueden ayudar a los gerentes de
seguridad a desarrollar e implementar un sólido programa de seguridad y garantizar su
éxito continuo mediante el monitoreo. Los Frameworks son muy detallados y
proporcionan acciones recomendadas específicas que han demostrado ser útiles para
muchos gerentes de seguridad que crean un programa. Aunque no hay Frameworks
dedicados a la seguridad de la información en este momento, existen muchos
Frameworks de riesgo que pueden ser de utilidad. OCTAVE® es un Framework de riesgo.
COBIT5 y el Framework Integrado de Control Interno son ejemplos de poderosos
Frameworks que cubren la gobernanza y la gestión de TI que pueden ser útiles al crear
y mantener un programa de seguridad. ITIL® también define un proceso de
administración de seguridad basado en el código de práctica definido en ISO 27002.
Además, el Framework de TI de riesgo de ISACA, es un Framework integral para
administrar los riesgos relacionados con TI. A diferencia de los modelos discutidos
previamente, los Frameworks generalmente son normativos más que descriptivos.
Estándares
De acuerdo con el Instituto Británico de Estándares (BSI), un estándar es una “Forma
acordada y repetible de hacer algo. Es un documento publicado que contiene
especificaciones técnicas u otros criterios precisos diseñados para usarse de manera
consistente como una regla, una guía o una definición”. Una definición adicional indica
que un estándar es una base para la comparación; un punto de referencia contra el cual
se pueden evaluar otras cosas.
Estas definiciones se alinean con la forma en que se ven los estándares en la comunidad
de seguridad de la información: brindando a los profesionales de la seguridad de la
información un sentido de dirección y una forma de evaluar comparativamente el
progreso de una empresa hacia las mejores prácticas.
información
Los estándares más comúnmente utilizados en el campo de la seguridad de la

información incluyen la Organización Internacional de Normalización (ISO) 27001: 2005
y la serie ISO 27000 más amplia, el Instituto Nacional de Estándares y Tecnología (NIST)
Publicación Especial (SP) 800-53 y la Tarjeta de Pago Estándar de seguridad de datos
industriales (PCI DSS). Este último es un ejemplo de seguridad de información específica
requerida para algunos de los procesos que una organización de servicios financieros
puede estar usando. Sin embargo, a menudo requiere un contexto adicional para
habilitar e informar una implementación integrada y rentable de PCI DSS. BMIS puede
ayudar a proporcionar el contexto sistémico en el que los procesos de tarjetas de pago
están operando, y las consecuencias para los pasos de seguridad de la información
tomados para abordar el estándar.
Combinación de Modelos, Frameworks y Estándares

Al observar la distinción entre modelos, estándares y Frameworks, está claro cuál de las
tres seguridad de la información ha faltado. Los profesionales de la seguridad han estado
tratando de alinear las actividades del programa con múltiples estándares, regulaciones
y Frameworks y han perdido un modelo general que los ayudaría a mantener la
información protegida. ¿Por qué se necesita un modelo? Incluso con el uso de
Frameworks y estándares, los profesionales de seguridad enfrentan desafíos tales como
la comprensión y el compromiso de la gerencia con las iniciativas de seguridad de la
información, la participación de la seguridad de la información en la planificación antes
de la implementación de nuevas tecnologías, la integración entre la seguridad
empresarial y de la información, la alineación de la seguridad de la información con los
objetivos de la empresa, y propiedad y responsabilidad de la gerencia ejecutiva y de
línea para implementar, monitorear e informar sobre la seguridad de la información.
BMIS aborda estos desafíos ofreciendo a las empresas una forma de sintetizar los
Frameworks y estándares que están utilizando y un modelo formal que pueden seguir
para crear un programa de seguridad integral de la información que hace más por la
empresa que los enfoques tradicionales.
Estado de seguridad
Los cambios en la tecnología, las redes globales y el uso generalizado de la tecnología de
la información han elevado la necesidad de una gestión eficaz del riesgo de la
información. A medida que las empresas se esfuerzan por mantener la rentabilidad, los
ejecutivos han reconocido que las brechas de seguridad de información pueden ser una
seria amenaza para la marca y la imagen de la empresa. Los profesionales de la
seguridad de la información se encuentran en una situación única: se han convertido en
responsables de uno de los activos más importantes de la empresa y pueden demostrar
valor para la empresa alineando el programa de seguridad con los objetivos
empresariales y gestionando el riesgo para los activos de información.
información
En los últimos 10 años, se han producido numerosos problemas que afectan la seguridad
de la información. Entre estos se encuentran regulaciones como Basilea II, la Ley de
portabilidad y responsabilidad del seguro médico de los EE. UU. (HIPAA) y la Ley
Sarbanes-Oxley de EE. UU.; aumento de las amenazas internas; tecnologías emergentes;
y aumento de las amenazas externas. En respuesta, la protección de la información no
ha mejorado, al menos estadísticamente hablando. En 2005, un grupo de personas
comenzó a recopilar datos sobre infracciones de seguridad en los Estados Unidos y
publicarlos en línea en www.privacyrights.org. Con pocas excepciones, las estadísticas
demuestran un patrón alarmante de mayor pérdida de datos. Cada año, de 2005 a 2008,
el número de violaciones de datos aumentó: 157 en 2005, 321 en 2006, 446 en 2007 y
656 en 2008. El costo que las empresas están incurriendo debido a estas infracciones
también está en aumento.
Como se menciona en el Resumen ejecutivo y en la Figura 1, el Instituto Ponemon realiza
un estudio anual sobre el costo de las infracciones de seguridad. El costo ha aumentado
consistentemente en los últimos cinco años. En 2005, el estudio reveló que el costo
promedio (costos directos e indirectos) para una empresa era de aproximadamente US
$ 138 por incidente. Los resultados de 2010 muestran que en 2009, ese costo había
aumentado a aproximadamente US $ 204 por incidente.
Este aumento en el costo y la frecuencia de las infracciones es significativo porque,
durante ese mismo período, la seguridad de la información ha experimentado
importantes avances. Tecnologías como firewalls, sistemas de detección de intrusos
(IDS), sistemas de prevención de intrusos (IPS), prevención de fugas de datos, control de
punto final, enrutadores, conmutadores y otros componentes como la gestión de
identidad y acceso (IAM) se han creado o mejorado para permitir una mejor seguridad.
La legislación se ha incrementado exponencialmente, atrayendo la atención hacia los
activos de información. El crimen, el terrorismo y los desastres naturales han puesto de
manifiesto la necesidad de mejorar la protección de la información. La poderosa
combinación de innovación técnica, el aumento de la conciencia de los ejecutivos y el
aumento de los recursos han sido paralelo al aumento de las amenazas, los riesgos y las
violaciones de éxito. La seguridad simplemente no ha demostrado la mejora que se
espera que se correlacione con el crecimiento que ha experimentado la profesión.
Uno podría pensar que, con la introducción de tecnología de seguridad avanzada, un
mayor enfoque regulatorio e incentivos para que las empresas inviertan en la protección
de la información, los incidentes de seguridad serían raros. Sin embargo, la verdad es
que incluso con los avances que se están realizando, aún ocurren incidentes de
seguridad. La información privada aún está comprometida. Los incidentes internos y el
fraude se informan con demasiada frecuencia. ¿Por qué la seguridad de la información
no está mejorando a pasos agigantados? Una respuesta es que los profesionales de
seguridad de la información continúan encontrándose reaccionando a los problemas
dentro de la empresa en lugar de tomar una postura proactiva. Este constante combate
de incendios deja poco tiempo para la innovación, el pensamiento estratégico y la
información
planificación. Los profesionales de la seguridad vuelven a aplicar controles a los

problemas a medida que surgen, a menudo con una dependencia excesiva de la
tecnología. Esto a menudo va acompañado de una falta de datos históricos, por lo que
los problemas continúan ocurriendo, a pesar de que han sido 'arreglados' en algún punto
anterior. Otra respuesta es que los ataques, el comportamiento negligente y el error
humano se han vuelto más frecuentes, dado el mayor uso de TI como una forma de
hacer negocios. Una tercera respuesta es que el uso de TI en la vida cotidiana se ha
vuelto omnipresente. La mayoría de nuestras actividades diarias, desde la banca en casa
hasta pedir una pizza, se realizan en línea. Naturalmente, esto crea muchas amenazas
nuevas y desafíos de seguridad
demás, muchas culturas empresariales
no han aceptado la seguridad de la
información, y los gerentes de seguridad
Cuando la gestión del riesgo de la de la información siguen luchando por
información no está integrada en demostrar valor. Cuando la gestión del
riesgo de la información no está
el negocio, los silos organizativos
integrada en el negocio, los silos
pueden reducir las organizativos pueden reducir las
oportunidades de soluciones oportunidades de soluciones
estratégicas. estratégicas. Se debe implementar un
enfoque holístico basado en el riesgo
para administrar los activos de
información. Los profesionales de la
seguridad de la información deben
observar los sistemas empresariales y
desarrollar soluciones que creen
oportunidades y minimicen los riesgos.
Los resultados de seguridad de la información

La seguridad de la información debe ser muchas cosas para la empresa. Es el guardián
de los activos de información de la empresa. Eso exige que el programa de seguridad de
la información proteja los datos de la organización y, al mismo tiempo, permita a la
empresa perseguir sus objetivos comerciales, y tolerar un nivel aceptable de riesgo al
hacerlo.
Esta tensión entre riesgo empresarial y protección puede ser difícil de manejar, pero es
una parte crítica del trabajo de un profesional de seguridad. Proporcionar información
a quienes deberían tenerla es tan importante como protegerla de quienes no deberían
tenerla. La seguridad debe permitir al negocio y apoyar sus objetivos en lugar de
volverse egoísta.
información
Desde una perspectiva de gobierno, hay seis resultados principales que el programa de
seguridad debería trabajar para lograr. En su publicación en el gobierno de la seguridad
de la información, ISACA define estos resultados como:
 Alineación estratégica
 Gestión de riesgos
 Entrega de valor
 Administración de recursos
 Gestión del rendimiento
 Integración del proceso de aseguramiento
Hay una serie de indicadores para la integración de diversas funciones relacionadas con
la seguridad. Lo más importante, no debe haber huecos en el nivel de protección de la
información de activos. Las superposiciones en áreas de planificación o gestión de
seguridad deben minimizarse. Otro indicador es el nivel de integración de las actividades
de seguridad de la información con la seguridad. Los roles y responsabilidades deberían
estar claramente definidos para funciones específicas. Esto incluye las relaciones entre
varios proveedores internos y externos de garantía de la información. Todas las
funciones de aseguramiento deben ser identificadas y consideradas en la estrategia
organizacional general.
información
2. MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA INFORMACIÓN

BMIS es principalmente un modelo tridimensional. Se compone de cuatro elementos y
seis interconexiones dinámicas (DIs). El modelo se muestra como una pirámide en la
figura 2, pero podría girarse o distorsionarse dependiendo del punto de vista del
observador. Como regla general, todas las partes de BMIS interactúan entre sí. Los
elementos están vinculados entre sí a través de las DIs. Si se cambia alguna parte del
modelo, otras partes también cambiarán. En un universo de seguridad de la información
completo y bien administrado, se considera que el modelo está en equilibrio.
Si se cambian partes del modelo, o si persisten debilidades de seguridad, el equilibrio
del modelo se distorsiona. Las interdependencias entre partes de BMIS son el resultado
del enfoque sistémico general.
El modelo aborda los tres elementos tradicionales considerados en TI (Personas,

Procesos y Tecnología) y agrega un cuarto elemento crítico (Organización). En términos
del programa de seguridad de la información, la flexibilidad y la influencia de los
elementos y las DIs varían. Algunos elementos son comparativamente inactivos, pero
omnipresentes, como la forma y el diseño general de la empresa. Está ahí, pero debe
verse como un límite para las iniciativas de administración de seguridad en lugar de una
influencia activa y continua. Del mismo modo, las personas son un elemento importante,
información
pero no uno que cambia con el tiempo. La naturaleza humana persistirá, y solo a través
del cambio cultural los comportamientos se adaptarán a lo que el programa de
seguridad pretende lograr.
Los DIs son:
 Cultura
 Gobernando
 Arquitectura
 Aparición
 Habilitación y soporte
 Factores humanos
Para obtener el valor máximo de este modelo, es importante comprender que estas DI
pueden verse afectadas directa o indirectamente por los cambios impuestos a
cualquiera de los otros componentes dentro del modelo, no solo a los dos elementos en
cada extremo. Las descripciones de las interconexiones específicas en esta publicación
reconocen este hecho y proporcionan ejemplos de cómo los cambios en otros
componentes del modelo pueden afectarlos.
Elementos BMIS
Organización
El elemento Organización, que se muestra en la figura 3, es un componente importante
de BMIS. Cabe señalar que el diseño general de la empresa es una parte de este
elemento, mientras que la estrategia es un prerrequisito general que influye en el
elemento de la Organización. Muchos enfoques tradicionales para la seguridad de la
información se centran en los puntos de vista de Seguridad, Personas, Procesos y
Tecnología, pero no examinan a la empresa como un todo. Cubren aspectos específicos
de dificultades y problemas observados, sin incluir otros aspectos de la empresa en
general que pueden haber contribuido a estas observaciones. Estos enfoques aislados a
menudo se centran en la tecnología o los procesos, pero sin una comprensión de las
fuerzas circundantes que podrían neutralizar el esfuerzo. BMIS proporciona una visión
de cómo el diseño y la estrategia de la empresa afectan a las personas, los procesos y
las tecnologías, lo que resulta en riesgos adicionales, oportunidades y áreas de mejora.
Establece además un vínculo claro entre las medidas de seguridad tradicionales y la
empresa, incluida su influencia en términos de diseño y estrategia
información
BMIS acepta la definición de Organización como una red de personas que interactúan,
utilizando procesos para canalizar esta interacción. Dentro del círculo primario de la
organización del modelo, hay empleados y otros asociados permanentes. BMIS también
se vincula con socios externos, proveedores de terceros, consultores, clientes y otras
partes interesadas. Todas estas relaciones internas y externas establecen el escenario
para la efectividad operacional y, en última instancia, el éxito y la sostenibilidad de la
empresa.
Al más alto nivel, la perspectiva adoptada por la alta gerencia es intuitivamente
sistémica. La organización se ve como un conjunto de componentes que admite un
conjunto de objetivos comunes. Estos, a su vez, son formulados, revisitados y
comunicados por el nivel organizacional más alto. En los niveles inferiores de la jerarquía
organizacional, esta perspectiva holística ya no es un hecho. Las divisiones, los
departamentos u otros silos a menudo impiden que los gerentes y los profesionales vean
el panorama general, y se pierde el punto de vista sistémico. Como parte del elemento
Organización BMIS, el programa de seguridad debe verse como un centro de valor
porque permite que la empresa alcance sus objetivos. El cumplimiento, la
responsabilidad financiera y las cuestiones legales son todos factores importantes que
influyen en la empresa. Sin embargo, deben ser vistos en el contexto de la estrategia y
los objetivos de la organización para que tengan sentido.
información
A través de la estrategia de la organización que es un requisito previo para el elemento

de BMIS, los profesionales de la seguridad pueden comprender los objetivos centrales
de la empresa y cómo el programa de seguridad debería apoyarlos mejor. Esto se puede
asignar a los fundamentos de seguridad de la confidencialidad, la disponibilidad y la
integridad. Además, la estrategia puede actuar como un facilitador de las
conversaciones entre la alta gerencia y la administración de seguridad. La forma en que
la empresa opera, se sostiene e innova hace tiempo que es un área estrechamente
observada que ahora debe aplicarse a la seguridad.
La teoría del diseño organizacional es un
campo completamente documentado.
Durante bastante tiempo, la estructura de
la organización ha sido el centro de
atención, centrándose en los
organigramas, la estructura de mando, el
flujo de información y la responsabilidad y
responsabilidad por la información. Del
mismo modo, los profesionales Es imperativo que cualquier
académicos y los profesionales han creado diseño organizacional sea
una gran cantidad de documentos seguro, incluida la información
relacionados con la estrategia de la que utiliza y los subsistemas
organización, examinando los mejores informáticos subyacentes.
métodos posibles para ejecutar objetivos
definidos. Para el propósito de BMIS y su
uso práctico, el diseño de la organización
simplemente apoya la estrategia. Una vez
que la administración general ha definido
la estrategia general, las unidades
organizativas, las entidades y otras
estructuras se adaptan a los objetivos
estratégicos, lo que a menudo implica una
reestructuración.
Sin embargo, es imperativo que cualquier
diseño organizacional sea seguro, incluida
la información que utiliza y los
subsistemas informáticos subyacentes.
Las estructuras de la organización difieren dependiendo de muchas circunstancias,

como la industria, el tamaño, la ubicación geográfica y la cultura. Sin embargo,
independientemente de la empresa, hay puntos en común. En la práctica, la estructura
organizacional a menudo se presenta como un obstáculo para lograr una buena
seguridad de la información. Algunos de los pros y los contras de las organizaciones
información
matriciales modernas, en comparación con las estructuras jerárquicas de línea o línea y

organización del personal, siempre tendrán un impacto en las personas que administran
la seguridad de la información. BMIS ofrece una visión de negocios sobre los riesgos
intrínsecos y culturales de cualquier diseño organizacional si estos riesgos impactan
visiblemente en la seguridad.
La organización formal
La organización formal es la estructura creada por el liderazgo empresarial e incluye
organigramas formales, políticas documentadas y directivas proporcionadas al personal.
Se complementa con la estrategia establecida por la alta gerencia. Cuando la estrategia
organizacional general reconoce la seguridad de la información como un objetivo
importante, la estructura reflejará esto en términos de diseño y personas. En la vida
cotidiana, los cambios más efectivos en la percepción de la seguridad de la información
tienden a ocurrir cuando un individuo de alto nivel a nivel de la junta asume la
responsabilidad de la seguridad y reestructura la cultura organizacional. Esto
generalmente ayuda a reducir parte de la mentalidad del silo que se acumula si la
seguridad no se ve como una prioridad estratégica. Si, y donde, el diseño y la estructura
organizativa respaldan claramente la seguridad como un objetivo prioritario, todos los
departamentos y unidades subsidiarios serán más eficientes en su trabajo para lograr
este objetivo. Una organización de seguridad bien diseñada puede mejorar aún más la
postura general de riesgo de la empresa. La visión intuitivamente sistémica adoptada
por los altos directivos evitará que surjan riesgos imprevistos en un área mientras se
intenta mitigar los riesgos en otra su visión estratégica les permite reconocer
rápidamente el intercambio entre varios riesgos relacionados con la seguridad.
La organización formal es un elemento importante para cualquier empresa. En términos
de seguridad de la información, generalmente se acepta que la seguridad de la
información no puede tener éxito sin el apoyo y la contribución de la administración
superior. En muchas organizaciones, los estilos de gestión jerárquica son dominantes,
por lo que si la administración no prioriza la seguridad y comunica esa prioridad a la
gente de la empresa, será muy difícil obtener el apoyo de los gerentes de la unidad de
negocios, obtener fondos adecuados para el programa de seguridad y aplicar la política.
Del mismo modo, si la empresa carece de estructura, se pueden encontrar los mismos
problemas, pero por diferentes razones.
información
EJEMPLO
En la empresa A, la seguridad de la información es parte de la función general de TI. No hay una función
de jefe de seguridad de la información (CISO) y el gerente de seguridad informa al director de información
(CIO). La función de TI establece la dirección mediante la emisión de políticas y estándares para la
seguridad de la información, pero no tiene una influencia directa en la forma en que se implementan en
las unidades de negocio. Las decisiones importantes las toman los comités y luego las ejecuta el gerente
de seguridad.
En la empresa B, la seguridad de la información está centralizada en un rol de CISO. Las unidades de
negocio tienen personas formalmente nominadas responsables de la seguridad. Las decisiones
importantes generalmente se toman centralmente, pero a menudo se inician desde dentro del negocio.
El personal de seguridad con frecuencia se reúne en grupos regionales, y algunas veces a nivel mundial.
Las dos organizaciones formales son claramente diferentes en su reconocimiento de la seguridad de la
información y en su grado de autoridad central. Ambos pueden funcionar, pero hay otros factores (como
la tecnología, la cultura y los factores humanos) que influirán en el funcionamiento de la organización de
seguridad. Desde una perspectiva de sistemas, la Compañía A está sufriendo una fricción constante que
surge de las acciones algo autónomas de los negocios. Los gerentes de seguridad a menudo se enfrentan
a prácticas y comportamientos cambiantes que se deben a las presiones comerciales y las situaciones
cotidianas. Sin embargo, estos pueden entrar en conflicto con las políticas y la orientación central. Las
funciones centrales de la Empresa A no tienen un vínculo directo con las empresas, por lo que cualquier
innovación técnica o cultural es difícil de consolidar. En la empresa B, la presencia y participación de
gerentes de seguridad locales y regionales crea un bucle que se refuerza: la tolerancia local para la
ambigüedad y la flexibilidad se pone a prueba (a través de reuniones regionales y mundiales) y las
unidades centrales pueden proporcionar retroalimentación la organización mediante la identificación y
el fomento de mejores prácticas. En términos de BMIS, el elemento de la Organización probablemente
permanecerá estático en la Compañía A, mientras que el mismo elemento en la Compañía B será uno de
los instrumentos que ayudará a influenciar y mejorar la seguridad de la información.
El programa de seguridad existe no solo para proteger

la información comercial, sino también, y
El programa de seguridad existe principalmente, para ayudar al negocio a alcanzar sus
no solo para proteger la objetivos. La organización formal (dentro del
información comercial, sino elemento de la Organización) informa al gerente de
también, y principalmente, para seguridad sobre lo que la empresa necesita lograr en
ayudar al negocio a alcanzar sus términos de calidad de la información y los activos de
información a proteger. Este conocimiento es
objetivos.
inestimable para los gerentes de seguridad porque les
muestra la dirección que el programa de seguridad
debe tomar para lograr el objetivo más importante:
apoyar al negocio al enfocarse en los activos de
información
información más que en el pensamiento de protección

reconocer el valor comercial que aporta la seguridad
general. El logro de este objetivo permite adeotros
la información.
La organización informal
Mientras que muchas organizaciones están muy bien definidos y tienen amplias políticas
y procedimientos establecidos para las operaciones de negocio, también existe una
organización informal dentro de la organización oficial donde las cosas pueden
funcionar fuera de, o sin, políticas escritas. Los organigramas pueden documentar las
relaciones de informes y la responsabilidad delegada y la responsabilidad, pero esa no
es siempre la forma en que la información viaja realmente dentro de la organización.
Además, la organización informal a menudo determina cómo se toman las decisiones,
incluso detrás de escena y a través de personas influyentes.
EJEMPLO
La Organización ABC contrata a un nuevo gerente de seguridad (Peter). ABC tiene poca seguridad, su presupuesto
no es masivo y Peter depende de un CIO muy ocupado que brinda poca dirección pero necesita que Peter cumpla la
tarea aparentemente insuperable de priorizar la seguridad para que los incidentes disminuyan a medida que
aumenta la confianza y la disponibilidad.
Peter sería sabio para averiguar sobre la organización informal. ¿Quiénes son las personas con influencia? ¿Dónde
se maneja la información? ¿De dónde viene e ingresa la información, tanto dentro como fuera de la organización?
¿Cómo puede Peter incorporar a las personas influyentes en el programa para que comprendan cómo la seguridad
facilitará su vida cotidiana? ¿Pueden estos influenciadores convencer a sus compañeros, que también son
influyentes y pueden apoyar el programa?
Es fundamental que el programa de seguridad de la información reconozca la organización informal. Con la conexión
directa con las personas a través de la cultura DI, existe una relación entre las acciones y los comportamientos, y la
eficacia de la organización. Los patrones de comportamiento adoptados dentro de una organización tienen un
impacto directo en la seguridad, así como en la productividad y la eficiencia. En muchos casos, probablemente
incluyendo ABC, son el factor clave para entender cómo funciona realmente la organización.
La organización informal abarca desde una gran subcultura de acciones de empleados

individuales hasta subculturas grupales que existen en unidades comerciales
individuales. A menudo están vinculados a recompensas y sistemas de incentivos. Por
ejemplo, los equipos de ventas suelen ser compensados en función de las ventas
individuales y grupales en lugar de a través de un salario. Establecer una meta de
organización y fortalecer esa meta a través de un sistema de recompensa puede crear
una situación en la que el personal de ventas valore más los ingresos por ventas que
otros objetivos importantes de la organización. Por ejemplo, los controles que se
implementaron para prevenir una exposición, como la pérdida de datos, pueden no ser
seguidos de manera consistente, lo que abre la organización a riesgos legales o
regulatorios. En algunas organizaciones de ventas, el uso de las tecnologías móviles
puede ser utilizado por los vendedores para continuar operando en el camino, aunque
las tecnologías móviles pueden no estar permitidas o restringidas en toda la
organización.
información
Puede que no se tenga en cuenta el uso de tecnologías de seguridad como el cifrado o

las comunicaciones seguras o los riesgos relacionados con la forma en que se usa la
tecnología, como las preocupaciones sobre la ingeniería social. Cuando hay un conflicto
entre el rendimiento y la conformidad, se pueden evitar los controles.
Los equipos de ventas a menudo reciben una mayor autonomía debido a la importancia
de cumplir con los números de ingresos mensuales y trimestrales. Como resultado, la
productividad puede tener prioridad sobre la política. Lo mismo puede no ser cierto en
otras áreas. Por ejemplo, en el departamento financiero o de contabilidad, las políticas
se pueden seguir de manera más estricta; en recursos humanos, entran en juego
cuestiones de confidencialidad y protección de datos personales. Estos ejemplos ilustran
las distintas culturas que generalmente existen en diferentes departamentos dentro de
la misma empresa. La organización informal opera dentro de estas distintas subculturas
como lo hace en todo el sistema como un todo.
Impacto organizacional de Seguridad

Cómo se formulan los objetivos estratégicos de alta prioridad y luego se logra tiene un
impacto significativo en la seguridad. La productividad y la rentabilidad, la estabilidad
financiera y el crecimiento se equilibran con los requisitos de cumplimiento, la
prevención de la responsabilidad y el apetito de riesgo limitado. Este equilibrio entre los
objetivos y los límites puede diferir incluso dentro de las unidades de negocio o
departamentos de la organización, dependiendo de los objetivos y su viabilidad. El
reconocimiento de la seguridad como parte de la estrategia varía mucho, en un entorno
orientado al cliente con transacciones en tiempo real, tanto la organización formal como
la informal verán fácilmente la necesidad de una seguridad fuerte y públicamente
visible. En un entorno basado en el cumplimiento, la organización formal puede aceptar
la seguridad como algo dado, mientras que la organización informal puede mostrar
inercia y ser reacia a aceptar el costo asociado. Si bien la estrategia organizacional es,
por lo tanto, el impulsor de la aceptación de la seguridad como elemento imprescindible,
el diseño y la estructura de la organización afectarán la cantidad de espacio de maniobra
que la administración de seguridad tiene, tanto formal como informalmente.
Es imperativo que el gerente de seguridad

comprenda, explique y trate tanto a las
organizaciones formales como a las Es imperativo que el gerente
informales. Un primer paso crítico es de seguridad comprenda,
incorporar estas áreas activamente en el explique y trate tanto a las
programa de seguridad para crear una organizaciones formales
aceptación y ayudar a dar forma a la
como a las informales.
postura de seguridad de la empresa.
información
El elemento de Organización se conecta con los elementos de las Personas a través de

la Cultura, el Proceso a través del Gobierno y la Tecnología a través de la Arquitectura.
Los cambios realizados en cualquiera de estos elementos o DI obviamente conducen a
cambios en los demás. También es fundamental reconocer que habrá implicaciones para
todo el sistema cuando se realicen cambios.
EJEMPLO
En una gran institución financiera, el CIO recibe un informe de auditoría sobre múltiples vulnerabilidades
de seguridad relacionadas con la gestión de identidad y acceso (IAM). Se desarrolla una nueva política que
requiere que IAM sea más estricto que antes. El CIO crea un grupo de trabajo para implementar los cambios
y hacerse cargo de IAM. El proceso de gestión de identidad es revisado y se comunica a todos los
empleados. Al mismo tiempo, se introduce una nueva herramienta para globalizar y centralizar todas las
actividades de IAM en toda la empresa.
Los eventos posteriores muestran un efecto adverso. El número de infracciones de acceso e identidades
compartidas aumenta bruscamente. Las investigaciones realizadas por auditoría interna muestran que los
empleados son reacios a seguir el nuevo proceso porque sienten que impide su trabajo diario. Los
administradores de seguridad ya no pueden controlar las identidades y los derechos de acceso a nivel local,
y han renunciado a la responsabilidad de la unidad central ahora a cargo de IAM. Si bien la herramienta se
ha implementado por completo, existen importantes problemas de calidad de datos que la vuelven casi
inútil.
El cambio inicial en este ejemplo se relaciona con la Organización y la DI gobernante (ver el siguiente
párrafo). El sistema general se modifica al imponer una nueva dirección (globalización y centralización). A
medida que la DI gobernante se activa, los procesos inevitablemente cambian. Asimismo, la Arquitectura
DI conduce a la introducción de una nueva herramienta en el elemento Tecnología. Otro efecto en el
modelo general es el cambio en la cultura, ya que los gerentes de seguridad ya no tienen control local sobre
las identidades y los derechos de acceso. Esto se relaciona con la Cultura DI.
El cambio inicial en el diseño organizacional puede haber funcionado, si no hubiera tenido efectos
secundarios en todas las otras partes del modelo: los nuevos procesos engorrosos se topan con la
resistencia pasiva de las personas que se sienten incapaces o no desean adoptar el cambio cultural. Su
interpretación lleva a la Emergencia (otra DI): se sigue el proceso, pero no cómo se pensó originalmente.
Del mismo modo, la nueva herramienta no puede habilitar y respaldar los nuevos procesos, simplemente
porque no se siguen como se esperaba. Mientras la arquitectura está allí, es disfuncional.
En una mentalidad lineal, la reacción del CIO al informe de auditoría es comprensible: los hallazgos se
abordan mediante medidas que se aplican posteriormente hasta que se reduce el número de problemas
de IAM. En una mentalidad sistémica, sin embargo, el CIO puede haber anticipado los efectos primarios en
los procesos (desaceleración, burocracia, desconfianza, etc.) así como en la cultura (resistencia pasiva) y la
arquitectura (presentando una herramienta que resuelve el problema equivocado).
El elemento de la organización abarca muchas actividades comerciales, incluido el

cumplimiento, la continuidad del negocio, la resiliencia y la sostenibilidad, a través de
información
sus conexiones. Se centra en impulsar el negocio y dirigir la organización hacia el

cumplimiento de sus objetivos. Es un punto focal para la responsabilidad y la
responsabilidad y un punto de partida fuerte para llevar el diseño de seguridad a todas
las unidades de negocio en la empresa. También tiene el potencial de influir
sustancialmente en la cultura de la empresa. Si bien la gestión de riesgos y la
convergencia deben considerarse en todo el sistema, el área principal para abordar
estos temas se encuentra en el elemento Organización. Esto reduce el peligro de que los
riesgos se gestionen en silos, creando inadvertidamente riesgos imprevistos en otras
áreas del negocio. Con conexiones en los elementos de Procesos, Personas y Tecnología,
el elemento Organización actuará como un controlador para demostrar el valor del
programa de seguridad para la empresa y tendrá una enorme influencia en el éxito del
programa de seguridad de la información.
Proceso
El proceso es el segundo elemento a considerar (figura 4). El elemento Process es único
y proporciona un enlace vital a todas las DI (interconexiones dinámicas) del modelo. Los
procesos son creados para ayudar a las organizaciones a lograr su estrategia. Son las
actividades estructuradas que se crean para lograr un resultado particular a través de
tareas individuales o una serie de tareas aplicadas consistentemente. El elemento
Proceso explica prácticas y procedimientos a medida que las personas y las
organizaciones quieren que se cumplan. El proceso es un elemento fundamental que
simboliza los requisitos para que una empresa desarrolle, promulgue, eduque y haga
cumplir las prácticas y procedimientos de seguridad de manera continua.
El marco de TI de riesgos de ISACA ofrece una descripción clara y detallada de un proceso

eficaz como uno que:
información
... es una colección confiable y repetitiva de actividades y controles para realizar una
determinada tarea. Los procesos toman información de una o más fuentes (incluidos
otros procesos), manipulan la entrada, utilizan recursos de acuerdo con las políticas y
producen resultados (incluida la salida a otros procesos). Los procesos deben tener
razones de negocio claras para los propietarios y responsables existentes, funciones y
responsabilidades claras en torno a la ejecución de cada actividad clave y los medios
para realizar y medir el rendimiento.
Atributos de los Procesos

Los atributos del proceso son:
• Madurez del proceso: un proceso puede utilizar mecanismos formales o informales
(grandes y pequeños, simples y complejos) para lograr su objetivo y cumplir su
propósito. Un proceso generalmente se considera maduro cuando está bien definido,
administrado y medible, y optimizado. Los procesos informales generalmente solo
pueden ser realizados por personas expertas en las tareas y no están documentados o
están poco documentados. Entre los pocos modelos que definen la madurez del proceso
se encuentran el modelo de madurez COBIT para el control interno y las Integraciones
del Modelo de Madurez de Capacidades (CMMI).
• Enlace a DI: Process es un enlace vital para varias de las DI dentro de BMIS, que se
conectan directamente a Governing, Emergence y Enabling and Support. Desde la
perspectiva del gobierno, un proceso se define como un resultado de la estrategia de la
organización para lograr ciertos patrones de comportamiento mientras se lo habilita y
respalda la tecnología. Desde la perspectiva de Emergence, un proceso necesita
flexibilidad para ajustarse y adaptarse a situaciones nuevas e inesperadas, y tener en
cuenta las opiniones de las personas y su comportamiento, en función de la experiencia
y el asesoramiento. Finalmente, desde la perspectiva de Habilitación y Soporte, un
proceso debe estar alineado con la tecnología para que la organización pueda recibir el
beneficio completo de las soluciones técnicas de forma permanente. Esto funciona en
ambos sentidos: la tecnología automatiza los procesos, pero también puede haber
procesos que otorguen poder a la tecnología, como un servicio de asistencia que soporte
una aplicación de software central.
Enfoque sistémico de los procesos

Como resultado, un conjunto de procesos de seguridad efectivos debe abarcar todos los
aspectos y áreas de una empresa. El proceso es un elemento clave que siempre tocará
otros elementos y DI. Debe ser visto de manera holística y no simplemente como la suma
de sus partes. Un enfoque holístico define el proceso como una unidad de
funcionamiento completo en la que una parte del proceso permite la comprensión y el
funcionamiento de otras partes del proceso. Es posible que no haya un solo proceso de
información
seguridad de la información, y el elemento de proceso de BMIS generalmente consistirá

en una gran cantidad de procesos individuales que respaldan aspectos de seguridad.
Utilizar un enfoque de sistemas para los procesos de seguridad de la información puede
ayudar a los gerentes de seguridad de la información a abordar entornos complejos y
dinámicos. Además, puede generar un efecto beneficioso en la colaboración dentro de
la empresa, en la adaptación al cambio operacional, en la navegación de la
incertidumbre estratégica y en la tolerancia del impacto de los factores externos.
Tecnología
A menudo, la parte más familiar de un programa de seguridad de la información es que
la tecnología es un elemento relativamente compleja y altamente especializada dentro
de BMIS (figura 6). La tecnología brinda a los profesionales de la seguridad muchas de
las herramientas utilizadas para cumplir la misión y la estrategia de la empresa en su
conjunto, incluidos los parámetros de seguridad genéricos de confidencialidad,
integridad y disponibilidad. Sin embargo, la tecnología no es todo lo que hay para la
seguridad de la información, aunque existe una percepción errónea de que la inversión
en tecnología resolverá todos y cada uno de los problemas de seguridad.
Alcance de la tecnología
La tecnología puede definirse como "la aplicación práctica del conocimiento,
especialmente en un área particular" y "una capacidad dada por la aplicación práctica
del conocimiento". La Enciclopedia Británica define la tecnología como "la aplicación del
conocimiento científico a los objetivos prácticos del ser humano" la vida o, como a veces
se dice, el cambio y la manipulación del entorno humano”. Estas definiciones prácticas
información
ilustran el significado clave del término dentro del BMIS: la tecnología incluye todas las
aplicaciones técnicas del conocimiento utilizado en la organización. En la práctica, es
probable que la definición de tecnología sea estrecha, ya que sirve para el propósito de
apoyar y lograr los objetivos de la organización. Por el contrario, la idea de que la
tecnología es solo TI es demasiado estrecha. En el contexto de BMIS dentro de una
organización, la tecnología cubre más que la TI tradicional.
En el nivel más bajo, la tecnología puede referirse a objetos concretos (como
herramientas e implementos) o a su funcionamiento. Alternativamente, la tecnología
puede considerarse la cantidad de conocimiento "científico" aplicado implementado
dentro de una empresa y el grado en que la empresa depende de ella, el nivel de
"sofisticación técnica" de la empresa.
Tecnología en BMIS
Por lo tanto, dentro de BMIS, el elemento de Tecnología se refiere a cada
implementación de habilidades técnicas y conocimiento que podría tener un impacto en
la seguridad general de la información. Esto podría ir desde el buscapersonas personal
y el teléfono móvil hasta la voz por IP (VoIP); desde el asistente digital personal (PDA)
hasta el mainframe; desde la construcción sólida y el bloqueo físico en la puerta a los
dispositivos de administración de acceso biométrico; desde la cámara para PC a un
sistema de video vigilancia totalmente congelado y en color; y desde el botón de alarma
de incendio a los sistemas más sofisticados de detección y supresión de incendios. Como
parte de la perspectiva sistémica, BMIS también aborda tecnologías omnipresentes que
van más allá de los límites de la empresa misma: aplicaciones basadas en la web y
almacenamiento de datos, acceso a través de redes públicas, infraestructuras entre
pares, redes oscuras y otras tecnologías que las personas utilizan como servicios.
Personas
El elemento Personas de BMIS (figura 7) representa los recursos humanos de una
organización: empleados, contratistas, proveedores y proveedores de servicios. Las
personas principales dentro de BMIS son aquellas que están empleadas o asociadas de
otra manera con la organización. Sin embargo, en situaciones de subcontratación,
relaciones de múltiples proveedores o soluciones de tecnología de servicios
administrados, existe un segundo círculo de personas que trabajan indirectamente
dentro o para la organización. Este círculo más amplio de personas necesita ser
considerado, pero su impacto en la seguridad puede no residir en el elemento Personas.
Por ejemplo, un proveedor de servicios de mesa de ayuda puede verse como un proceso
dentro de ese elemento, y cualquier efecto sistémico basado en las personas sería a
través de Emergence. En la práctica, el resultado final de un cambio sistémico con
respecto a las personas suele ser el mismo, independientemente de si las personas son
internas o secundarias externas.
información
Las "personas" no son solo unidades de una y no pueden estudiarse de manera

independiente. Para comprender cómo la seguridad de la información afecta y se ve
afectada por las personas, se requiere un enfoque sistémico, estudiando la interacción
de las personas con el resto de los elementos del modelo a través de las DI.
Las personas dentro de una organización tienen sus propias creencias, valores y
comportamientos que surgen de sus personalidades y experiencias. El marco
corporativo afecta y se ve afectado por estos atributos, ya que define sus propias
creencias, valores y comportamientos y el grado en que se espera que las personas
cumplan. Esto se refleja en la cultura DI. Por ejemplo, la forma en que las personas
actúan dentro de una organización -y en relación con la seguridad de la información-
depende de la estrategia de recursos humanos (RR.HH.) corporativa definida en el
elemento Organización e implementada dentro de los procesos, como parte del
gobierno de la organización. Si la estrategia corporativa de recursos humanos relaciona
el desempeño del empleado en el cumplimiento de las políticas corporativas (incluida la
seguridad de la información) con los resultados de la evaluación de los empleados,
entonces se está respaldando el cumplimiento de la cultura corporativa. En otro
ejemplo, la empresa que tiene políticas bien desarrolladas para tratar con los empleados
durante la contratación y el empleo y después de la finalización del contrato demuestra
un proceso sólido para la gestión de las personas y las expectativas relativas a la
seguridad de la información. Por supuesto, este proceso es implementado por personas
(el departamento de RR. HH., La gerencia de línea, el departamento de seguridad) y la
naturaleza humana dicta que, al implementar procesos, las personas a menudo
introducen un nivel de incertidumbre, que se refleja en el Emergence DI.
Es evidente que las personas influyen en la seguridad de la información a través de su
interacción con el entorno corporativo, reflejado en sus estrategias y procesos
información
corporativos o en otras personas. Un estudio de otros elementos y DI, como Tecnología,

Factores Humanos, Habilitación y Soporte, y Arquitectura, permitirá una mejor
comprensión de esta interacción. Por ejemplo, las personas pueden haber sido
contratadas porque demostraron ciertas habilidades para usar la tecnología. Pero si la
seguridad de la información se implementa dentro de la infraestructura tecnológica
corporativa de una manera que sea contraria a la cultura corporativa prevaleciente, esas
mismas personas pueden tener dificultades cumpliendo con la política de seguridad,
independientemente de sus habilidades técnicas. Si el diseñador del sistema no tiene el
nivel requerido de habilidades y conocimientos de seguridad, es probable que tanto la
facilidad de uso como la aceptación del sistema de identidad sean bajas.
Interconexiones dinámicas BMIS

Los elementos de BMIS, como se describió anteriormente, no existen de forma aislada.
En los enfoques de seguridad tradicionales, las dependencias entre los elementos a
menudo se pasan por alto. Esto conduce a un pensamiento lineal y pasos y medidas
escalonados en un elemento, pero sin necesariamente logrando mejoras de seguridad
reales. A menudo es obvio que, en la práctica, los cambios en un elemento influyen en
todos los demás elementos. La forma en que BMIS expresa estas dependencias es a
través de DI.
Las interconexiones también
Cualquier DI entre dos elementos es flexible y indican que BMIS no es
también representa la tensión potencial entre los estático. Representan las
elementos. Como ejemplo, los elementos partes dinámicas del modelo
Organización y Personas están estrechamente en el que ocurren las acciones
vinculados, pero muchas de las dificultades y donde los cambios, a su vez,
conocidas en el día a día del negocio surgen del influyen en los elementos.
hecho de que la estructura de organización dada
no coincide con las expectativas de las personas. Del mismo modo, la DI de Habilitación
y Soporte entre el Proceso y la Tecnología obviamente existe, pero puede verse forzada
en ocasiones cuando la nueva tecnología no se ajusta por completo a los procesos
existentes. Las tensiones en DI generalmente distorsionan el modelo y, en el transcurso
del tiempo, conducen a cambios que disminuyen la tensión entre los elementos.
Las interconexiones también indican que BMIS no es estático. Representan las partes
dinámicas del modelo en el que ocurren las acciones y donde los cambios, a su vez,
influyen en los elementos. La naturaleza humana tiende a permanecer constante,
independientemente de si las personas están dentro de una organización o fuera de ella.
De manera similar, la adopción de cambios en la estrategia organizacional ocurre en una
serie de pasos, y algunas veces lentamente. Sin embargo, la DI cultural entre la
organización y las personas está sujeta a cambios frecuentes, y en el pensamiento
sistémico, la cultura es más que la suma de sus partes.
Las DI en BMIS también interactúan entre sí en un sentido sistémico. En algunas
situaciones, el comportamiento del sistema general crea retroalimentación o alimenta
información
los bucles hacia adelante. Estos bucles cambian dinámicamente el sistema y lo mueven
gradualmente a un nuevo estado. Donde existen tensiones que distorsionan el modelo,
los cambios surgirán primero en una DI y luego en los elementos correspondientes. Esto,
a su vez, puede influir en otras DI y elementos, lo que lleva a un ciclo que se auto refuerza
y mueve el modelo como un todo.
Gobernante
Según ISACA, "la gobernanza es el conjunto de responsabilidades y prácticas ejercidas
por la junta directiva y la dirección ejecutiva con el objetivo de proporcionar una
dirección estratégica, asegurar que se logren los objetivos, verificar que los riesgos se
gestionen adecuadamente y verificar que los recursos de la empresa se usen de manera
responsable". El gobierno de la empresa y la gobernanza de TI establecen los límites
globales de lo que es factible dentro de la seguridad de la información. Como tal, la
gobernanza se encuentra fuera de, y toca, cada aspecto del modelo BMIS. La gobernanza
empresarial, entre otras cosas, influye en la forma que adopta una organización y en
cómo los elementos de Gente, Proceso y Tecnología se unen para apoyar la misión y la
estrategia de la organización. Por lo tanto, la DI gobernante traduce conceptos y
medidas de gobernanza existentes (a nivel del elemento Organización), alentando a las
organizaciones a cumplir sus misiones y objetivos y establecer límites y controles a nivel
de proceso.
Actuando como la conexión entre los elementos de Organización y Proceso, la DI que
gobierna (figura 8) representa la acción de poner en práctica la gobernanza dentro de
BMIS. Esto significa administrar el proceso mientras se implementa el sentido de
dirección establecido por la alta gerencia. Si bien los dos elementos representan lo que
se debe hacer y cómo hacerlo, este DI actúa como un catalizador para lograrlo. El
gobierno se logra a través de la interconexión con el elemento Proceso. Las reglas y
regulaciones, es decir, las normas y directrices, se reflejan en el elemento Proceso a
través de procedimientos y prácticas definidos o ad hoc.
El ciclo de retroalimentación que modifica activamente los resultados DI Gobernantes
de las otras DI de Cultura y Arquitectura, actuando según el diseño y la estrategia. Por
ejemplo, en la medida en que el elemento de Tecnología sea inadecuado para las
necesidades de seguridad de la organización, la Arquitectura DI creará "tensión",
distorsionando el modelo y dando como resultado la necesidad de cambios en el diseño
que, a su vez, modificará la estrategia eso cambia la DI gobernante. Los cambios en la DI
gobernante modificarán los procedimientos y las prácticas en el elemento Proceso.
Objetivos
Los procesos deben cumplir los objetivos de la organización a un nivel aceptable de
previsibilidad, es decir, riesgo. El acto de gobernar debe establecer el enfoque de lo que
debe lograrse en los diversos procesos organizacionales (elemento Proceso) y al mismo
información
tiempo establecer los límites de las actividades que mitigan los riesgos de manera
suficiente. El gobierno también debe abordar cuestiones de preservación organizacional
o sostenibilidad, y hacerlo sin limitar innecesariamente la capacidad de la organización
para prosperar y prosperar.
Figura 8 – gobernante DI
organización
GOVERNANTE
CULTURA ARQUITECTURA
Procesos
APARICIÓN HABILITACIÓN Y SOPORTE
Enfoques
Gobernar abarca todas las actividades tácticas requeridas para lograr la estrategia de la
organización dentro del contexto del diseño organizacional. Cualquier actividad de
gobierno que no cumpla con estos criterios será contraproducente y creará "tensiones"
excesivas que deberán resolverse mediante cambios en el diseño y la estrategia o en la
DI gobernante. Un gobierno excesivo más allá de lo que se necesita para alcanzar los
objetivos comerciales y limitar los riesgos a niveles aceptables se convierte en una
burocracia restrictiva, reduciendo la adaptabilidad organizacional y la resiliencia en el
manejo de situaciones emergentes.
Las herramientas principales para gobernar son los estándares y las acciones
orientadoras que de manera demostrable cumplen con la intención de la política. Los
estándares que no proporcionan el conjunto adecuado de límites y orientación darán
lugar a una exposición al riesgo inaceptable para la organización. Los estándares que son
demasiado restrictivos limitan innecesariamente las opciones de procedimiento y
afectan negativamente a la capacidad de adaptación, la adaptabilidad y la eficacia de la
organización. Del mismo modo, otras acciones orientadoras -que representan el
gobierno en el sentido activo de la palabra- deberían estar vinculadas a la estrategia
información
organizacional y los objetivos resultantes. Cada acción tomada en términos de gobierno

debe tener una justificación clara y un fundamento, particularmente aquellos que
influyen y dan forma a los procesos de seguridad. La gobernanza y, por lo tanto, la DI
gobernante incluye, entre otros, los siguientes:
 Políticas
 Normas, directrices y otra documentación normativa
 Reglas de rendición de cuentas
 Asignación de recursos y priorización
 Métricas (para todo lo anterior)
 Cumplimiento (como un tema general)
La comunicación es vital dentro de la DI gobernante. El gobierno debe filtrar en la

organización a través de todos los niveles de gestión a través de los canales apropiados.
Para lograr una efectividad óptima, debe ser intrínseco a la cultura, así como a las
prácticas y procesos de la organización. Los requisitos de seguridad, a menudo meras
buenas prácticas, deben abordarse en todas las descripciones de puestos y esas
responsabilidades y responsabilidades se refuerzan de forma continua mediante
campañas de capacitación y sensibilización.
Muchos de los problemas que las direcciones de seguridad de la información resultan
simplemente de un diseño o proceso deficiente o inadecuado o de que la cultura no
valore lo suficiente la conciencia, a menudo como resultado de centrarse únicamente
en el rendimiento. Si no se controla, los procesos pueden cambiar con el tiempo y
desarrollar sus propios fines y medios, principalmente para lograr objetivos mal
entendidos o para adaptarse a la creciente presión. El gobierno requerirá realinear todos
los procesos tanto con los objetivos del negocio como con la cantidad de riesgo asociado
con hacer negocios. Es responsabilidad de la administración promulgar los procesos y
ser consciente de los riesgos y los objetivos generales.
La gestión eficaz del riesgo exige un liderazgo estratégico, y la responsabilidad y la
responsabilidad de la seguridad deben ponerse directamente en las manos del consejo
y los ejecutivos de alta dirección. En muchas empresas, la seguridad se ve como un
problema técnico de bajo nivel (o incluso de TI) más que como un requisito estratégico.
El resultado ha sido evidente en los titulares continuos que informan compromisos de
seguridad cada vez más espectaculares. Una vez más, BMIS inserta la DI gobernante
como un medio para hacer frente a las tensiones que pueden existir entre la estrategia
de la organización y los procesos de seguridad. Por ejemplo, los procesos sujetos a una
reducción exagerada de los costos pueden ser el resultado de una ambiciosa estrategia
de reducción de costos que ha sido establecida por la alta gerencia. En este caso,
gobernar es el acto de definir niveles de seguridad de "alcance obligado", artículos de
costo aceptables e inversiones 'imprescindibles' en seguridad.
información
Todas las actividades de gobierno deben ser explícitas y son una parte requerida del
diseño y la estrategia de la organización con vínculos definidos entre el diseño, la
estrategia y el proceso.
Los marcos / estándares que respaldan la DI gobernante incluyen:
 COBIT21
 Val IT
 Línea de base de seguridad COBIT
 Risk IT
 Principios de gobierno corporativo de la OCDE
 Serie ISO 27000: Sistemas de gestión de la seguridad de la información
 Marco de gestión de riesgos de COSO Enterprise
 NIST SP 800-53: controles de seguridad recomendados para los sistemas de
información federales, para más cuestiones relacionadas con TI
Cultura
Si bien la tecnología y la política siguen siendo ingredientes importantes para asegurar
la información empresarial, se ha vuelto obvio que no son suficientes por sí mismos. La
cultura (figura 9) es una de las DI que separa BMIS de otros modelos de seguridad. Al
abordar la cultura y su impacto en el comportamiento, BMIS proporciona una imagen
más completa de la empresa. El impacto de la cultura en las personas es un tema clave
en la seguridad de la información ya que las personas pueden contribuir a la seguridad
de la información o, por el contrario, a comprometerla.
La Cultura DI afecta, y se ve afectada por, los elementos de Organización y Relaciones
lógicas de personas porque la cultura interna de la empresa puede estar relacionada con
las influencias culturales en el individuo. La sinergia entre los recursos humanos y la
organización es la base de la cultura corporativa.
¿Qué es cultura?
La cultura organizacional es un tema ampliamente documentado para el cual se han
publicado muchas definiciones. La definición que BMIS utiliza es: "La cultura es un
patrón de comportamientos, creencias, suposiciones, actitudes y formas de hacer las
cosas" 22. El patrón de palabras es clave en esta definición. Las culturas están
compuestas por individuos, pero no necesariamente representan comportamientos
individuales. Es la cultura la que influye en los comportamientos individuales y grupales.
Al usar BMIS, hay dos capas de cultura para considerar. La cultura organizacional se
forma a lo largo del tiempo mediante la estrategia, el diseño organizacional y las
conductas de las personas en el trabajo. La segunda capa se encuentra en la cultura
individual de las personas, que puede ser diversa y heterogénea. Ambas capas deben
tenerse en cuenta al visualizar Cultura a DI que influye en la seguridad.
información
Las personas son la clave de la cultura, y la cultura, a su vez, crea un conjunto de

percepciones en las personas. Además de los factores internos de la organización, tales
como compensación, elogio, perspectivas de promoción y otras políticas
administrativas, las percepciones están influenciadas por factores externos a la
empresa, como la religión, el origen étnico, el origen socioeconómico, la ubicación
geográfica y las experiencias personales. Estos factores externos -que en apariencia
pueden no tener mucho impacto en las operaciones cotidianas- se manifiestan en
comportamientos traídos al lugar de trabajo y, a menudo, son mucho más importantes
de lo esperado, ya que forman los cimientos de las conductas y normas en el lugar de
trabajo.
Figura 9- Cultura DI
Organización
CULTURA
GOBERNANTE ARQUITECTURA
Personas
APARICIÓN FACTOR HUMANO
Para mejorar el programa de seguridad de la información, los gerentes deben examinar

y comprender la cultura que existe dentro de la empresa, y luego deben ampliar las
fortalezas de la cultura y reconocer o mejorar sus debilidades para crear una cultura que
sea realmente intencional en su enfoque de seguridad. No es una tarea pequeña
mejorar o cambiar una cultura que está configurada y ha operado de una manera
particular por un período de tiempo; sin embargo, es un paso crítico para mejorar la
postura general de riesgo de cualquier empresa. Los siguientes pasos para crear una
cultura de seguridad van más allá de la mera comprensión de la cultura existente. Sin
embargo, darse cuenta de lo que ya existe es un primer paso importante. Cambiar o
información
mejorar una cultura organizacional general es un esfuerzo que, por definición, es

limitado, ya que es poco probable que las personas en sí mismas cambien
drásticamente. Por lo tanto, es importante reconocer las limitaciones de cambiar la
segunda capa de cultura (personas). Sin embargo, es posible cambiar la primera capa,
que es la comprensión organizacional del comportamiento esperado y la comprensión
de la seguridad, y este debería ser el objetivo de los pasos tomados en la formación de
la cultura de la seguridad.
Las culturas son tan diferentes en las organizaciones como las características
subyacentes que las forman. La cultura corporativa a menudo se considera como un
producto creado por la alta gerencia mediante reglas. Si bien es cierto que el liderazgo
tiene una fuerte influencia sobre la cultura de la empresa, la cultura en realidad es
creada por los patrones de las conductas y actitudes de las personas, que están
influenciadas por sus percepciones y creencias, y algunas veces incluso por el hábito y la
tradición.
La investigación de administración de seguridad sistémica (SSM) identifica seis aspectos
de la cultura que son de particular importancia para los problemas de seguridad de la
información, y el marco de TI de riesgo de ISACA agrega un séptimo:
 Reglas y normas
 Tolerancia para la ambigüedad
 Distancia de poder
 El factor de cortesía
 Contexto
 Colectivista vs. individualista 23
 Asunción de riesgos vs. aversión al riesgo 24
Si bien algunos de estos aspectos pueden parecer familiares, también destacan
conceptos menos comunes, como el factor de cortesía, en el cual las personas temen
corregir a sus superiores o compañeros para no avergonzarlos; la tolerancia a la
ambigüedad, que examina qué tan bien la empresa trata con lo desconocido y con el
cambio; y la mentalidad colectivista vs individualista, que se enfoca en cómo alejar a los
empleados de 'mí' para que se centren en 'nosotros'.
Además de los aspectos mencionados, las empresas deben considerar el efecto de
factores como la ubicación geográfica, la etnia y la religión. Por ejemplo, muchos países,
ya sea por influencias de la religión o la tradición, tienen una cultura de confianza. Los
valores predeterminados de la administración son confiar en la integridad de los
empleados, proveedores y clientes. Algunos consideran que la confianza es la base
misma del negocio, ya que la confianza es la voluntad de una de las partes de ser
vulnerable a las acciones de otra parte, en base a la expectativa de que la otra realice
una acción particular importante para la primera parte. En un momento, cuando el
mundo de las finanzas, el comercio y la industria era más estable, estos rasgos podrían
haber sido una suposición razonable. Sin embargo, en un ambiente de globalización,
este es un área sobre la cual el gerente de seguridad de la información debe prestar
información
mucha atención. "Confiar en nadie" es un extremo que debe evitarse, al igual que el otro
extremo (frecuentemente visto) del espectro: "Todos confiamos en los demás por aquí".
Debido a que todas las culturas empresariales (la primera capa de cultura vista desde
una perspectiva de seguridad) tienen su propio sabor, es importante que el gerente de
seguridad de la información entienda que lo mejor para la organización es importante
para la cultura de seguridad: si las personas son leales a la empresa, es más probable
que manejen la información de manera segura. Estrategias y objetivos bien establecidos
y bien comunicados pueden ayudar a las organizaciones a crecer desde la perspectiva
del "yo" hasta la perspectiva del "nosotros". Idealmente, esto significa que,
independientemente de las políticas y procedimientos de seguridad formales, es
probable que las personas desarrollen una perspectiva consciente sobre la protección
de la información, tal como lo harían al proteger sus propios hogares. Sin embargo, esto
implica que la gerencia y el personal compartan un entendimiento común; solo cuando
la cultura empresarial no se comprenda solo, sino que se comparta, ¿será aceptable el
resultado global?
EJEMPLO
En una empresa asiática que ofrece servicios subcontratados a muchas empresas
europeas y estadounidenses, la seguridad parece haber sido bien comunicada,
documentada y "vivida". Una inspección no planificada revela que el día antes de la
auditoría anunciada, la mayoría de las reglas de seguridad se incumplen abiertamente
y existe una diferencia significativa entre la situación observada y la observada en las
auditorías anteriores. Al entrevistar a la gerencia, el auditor se entera de que "la visita
no había sido anunciada y estaba planificada para el día siguiente".
Desde una perspectiva de BMIS, este ejemplo muestra dos cosas. En primer lugar, la
cultura tal como se define y se comunica es algo que el personal local y la gerencia han
entendido, pero no han internalizado. Parece que las expectativas de los clientes se
cumplen de la mejor manera posible, pero solo cuando se lleva a cabo una auditoría o
cuando se implementa algún otro mecanismo de vigilancia. En todos los demás casos,
las expectativas de seguridad expresadas por el cliente son, en el mejor de los casos,
vistas como extrañas y educadamente ignoradas. En segundo lugar, la cultura
individual de las personas, y tal vez la cultura local como un todo, son obviamente
completamente diferentes de la cultura prevaleciente en los países de origen de los
clientes. Esto crea una tensión considerable en la Cultura DI del modelo.
Para resolver estas discrepancias culturales, BMIS indicaría acciones en la Cultura DI,
por ejemplo, mediante la inserción de personas expatriadas en la gestión de seguridad
o la adscripción de gerentes de seguridad locales a los países de origen de las empresas
que subcontratan a Asia. Independientemente del modelo de seguridad aplicado, es
probable que este proceso de lenta adaptación cultural tarde mucho tiempo.
información
EJEMPLO
En una empresa de fabricación en Alemania, la administración de seguridad observa casos frecuentes de
infecciones de virus, malware y aplicaciones no autorizadas que se descargan en la red corporativa.
Durante mucho tiempo, la alta dirección ha mantenido una estricta política de seguridad, junto con una
cultura de orientación detallada y aplicación amplia, que incluye medidas disciplinarias y despido. Una
auditoría revela que, con el uso cada vez mayor de las aplicaciones web y Web 2.0, los empleados
involuntariamente comenzaron a correr mayores riesgos. Como resultado, la cantidad de incidentes de
seguridad ha aumentado significativamente. Hay una tensión obvia en la cultura DI.
Un análisis desde la perspectiva de BMIS muestra que existe una cultura de seguridad 'antigua' que no es
poco común en las empresas manufactureras: la seguridad estricta es parte del modelo de negocios y todos
los secretos comerciales están bien protegidos. Esta cultura protectora es obviamente bien comprendida
y aceptada por los empleados, ya que el problema parece estar centrado en las TI y no en los demás
procesos comerciales. La 'nueva' cultura de seguridad, por otro lado, aún no se ha formado y los empleados
parecen estar usando la red de una manera descuidada y sin protección. Han sido entrenados para trabajar
de acuerdo con un estricto conjunto de reglas, y están menos equipados para ejercer precaución cuando
no hay reglas. Esto es confirmado por los empleados afirmando que "no lo hicieron a propósito".
En este ejemplo, el problema de las infracciones a la seguridad de la información se resuelve más tarde
mediante la contratación de un consultor externo que capacita a los empleados "en el trabajo". Se
configura una red encapsulada que simula el uso típico de las aplicaciones Web y Web 2.0.
Los empleados reciben demostraciones prácticas de cómo implementar un virus, cómo insertar malware,
etc. Después de algunas sesiones, que resultan ser muy divertidas para los empleados entrenados, el
número total de incidentes de seguridad disminuye drásticamente.
Si bien las culturas empresariales son únicas, sí entran en ciertas categorías. Cada una
de estas categorías tiene características que describen la interacción de las personas
asociadas con la empresa, la priorización de la creatividad y la innovación en la forma en
que opera la empresa, la capacidad de la empresa para manejar la ambigüedad y su
tolerancia y flexibilidad con respecto al cambio. Estas características forman la base de
la cultura de la organización y, a menudo, son parte de los valores centrales de la
empresa.
EJEMPLO
En una cultura jerárquica o militarista, la idea dominante es la de comando y control. El estricto
cumplimiento de las órdenes es un hecho, y las decisiones se toman de una manera estrictamente
jerárquica y de acuerdo con el rango. La gerencia ejecutiva empuja hacia abajo sus creencias y preferencias
y dirige el negocio de acuerdo con esas creencias. Este tipo de organizaciones tienen estructuras definidas
y pueden dejar poco espacio para el aporte o la innovación de los empleados. La ventaja percibida de estas
culturas rígidas es el funcionamiento predecible de grandes grupos de personas en un nivel definido. Las
fuerzas militares, particularmente en tiempo de paz, a menudo se consideran burocráticas, lentas e
ineficientes. Sin embargo, su objetivo principal es el funcionamiento eficiente y completamente predecible
en tiempo de guerra, por lo que no hay sorpresas y, por lo tanto, se garantiza la fiabilidad total.
información
Otras culturas son de naturaleza más igualitaria, consideran al personal como igual y
consideran que las reglas son menos importantes que la productividad. En estos casos
puede haber una falta de estructura y las personas a menudo se dejan a sus propios
dispositivos en cuanto a cómo entregar. Las preocupaciones de seguridad son a menudo
evidentes porque las personas eligen evadir los controles o procedimientos existentes
para producir resultados rápidamente. La seguridad no se puede aplicar de manera
coherente, por lo que los comportamientos se convierten en normas y generalmente se
evita la seguridad.
Existen problemas en ambos tipos de atmósferas. Por ejemplo, dentro de una cultura
jerárquica, la distancia de poder es alta. En esta situación, la dirección ejecutiva tiende
a ser autoritaria y exige la adherencia de los empleados a reglas estrictas. Los empleados
pueden seguir las políticas de seguridad por miedo a las consecuencias. Esta cultura no
ayuda a los empleados a apreciar o entender la seguridad. Puede surgir la percepción
de que la seguridad dificulta las cosas o actúa como un obstáculo para hacer el trabajo.
Del mismo modo, una empresa en la que la administración es laissez-faire y se centra
principalmente en la productividad tiene una distancia de poder inferior, es decir, puede
carecer de una estructura y políticas bien definidas o puede tener políticas que no se
aplican. La percepción es que la seguridad es opcional o secundaria a hacer el trabajo.
Como se puede ver, ningún tipo de entorno contribuye a una "mejor" cultura de
seguridad. De hecho, ambos dan lugar a problemas potencialmente graves.
En el primer ejemplo (una cultura con una gran distancia de poder), los empleados
pueden estar tan atados a la política por miedo al incumplimiento que es posible que no
puedan reconocer un problema emergente o una amenaza no documentada como un
posible riesgo para los activos de información empresarial. Siempre y cuando hayan
seguido las reglas, se sienten seguros sin tener que pensar "fuera de la caja". Del mismo
modo, en una cultura con una distancia de baja potencia, las personas pueden ignorar
los procedimientos o evitar los controles para hacer su trabajo más rápido, creando
riesgos potenciales. Cuando se enfrentan a un incidente de seguridad, es probable que
la gente señale que "la seguridad no es para lo que estamos aquí; tenemos un trabajo
que hacer'. Un equilibrio entre estos dos tipos de entornos probablemente crearía una
mejor cultura de seguridad. Sin embargo, la mayoría de las empresas no tienen la
combinación perfecta de flexibilidad y estructura, por lo que se necesita un cambio.
información
Creando la Cultura de Seguridad

La cultura organizacional afecta a todo el sistema
empresarial. Estar preparado para enfrentar el Al implementar expectativas y
cambio es esencial. Algunos tipos de culturas deseos en una cultura de
están más abiertos a lidiar con el cambio que seguridad, las organizaciones
otros. Como la cultura suele ser el factor más pueden usar la cultura para
importante que explica el éxito o el fracaso de mejorar realmente la
una organización, es de importancia crítica que seguridad de la empresa.
los profesionales de la seguridad se esfuercen por
crear una cultura que no solo reconozca la importancia de la seguridad de la
información, sino que también incorpore la seguridad de la información. Operaciones
de un día Al implementar expectativas y deseos en una cultura de seguridad, las
organizaciones pueden usar la cultura para mejorar realmente la seguridad de la
empresa.
Crear una cultura consciente de la seguridad no es una tarea fácil o rápida, sino más bien
un objetivo a largo plazo que debería ser considerado por todos dentro de la empresa.
Las personas son un componente constante de la protección de la información. Todas
las personas que conforman una empresa -desde la junta directiva y los ejecutivos hasta
el personal en todos los niveles- y las empresas con las que la empresa tiene relaciones
con terceros tienen la capacidad de mejorar la seguridad de la información o debilitarla.
Si las personas se comportan con seguridad en mente e incorpore prácticas de seguridad
de la información en sus actividades diarias, hay muchas más posibilidades de proteger
los activos de información empresarial.
En general, las personas no son maliciosas, pero a veces desconocen las políticas de
seguridad, no están seguras de cómo poner en práctica las políticas o no están
dispuestas a seguir los protocolos de seguridad. La conciencia de seguridad y la
educación son útiles y necesarias, pero no adecuadas por sí mismas. Se necesita un
cambio real en la primera línea de la organización donde se establece la cultura.
Independientemente de la cultura actual de una empresa, es importante entender que
la cultura puede cambiarse, y este cambio -desde la reactividad a la proactividad y luego
desde la proactividad a la seguridad intencional y consagrada- debe considerarse un
objetivo central del programa de seguridad.
Al influir en la cultura de una empresa para que sea más conducente a la seguridad de
la información, las fortalezas de BMIS se pueden aprovechar para mejorar la postura
general de seguridad de la empresa. Los cambios culturales deben verse en todo el
sistema. En otras palabras, la mejora de la cultura no ocurre simplemente instituyendo
un programa sólido de concientización y capacitación, obteniendo la aceptación de los
ejecutivos o cambiando los procedimientos para incorporar prácticas seguras. Todas
estas medidas, y más, son necesarias para cambiar de manera efectiva una cultura a lo
largo del tiempo.
información
Algunos primeros pasos para mejorar la cultura para ser más favorable a la seguridad
pueden incluir los siguientes:
 Trabajar para establecer un sólido programa de seguridad de la información que

incluya el apoyo del liderazgo de la empresa y los líderes de las unidades de
negocio funcionales. Encuentre líderes influyentes en toda la empresa para
ayudar a entregar mensajes clave.
 Establecer, comunicar y aplicar políticas de seguridad claras.
 Fomentar la colaboración entre las unidades de negocios, reduciendo así la
administración en silos.
 Trabajar para tener las responsabilidades de seguridad incluidas en las
descripciones de trabajo y las revisiones anuales de rendimiento para todos.
 Obtener la concurrencia en metas y objetivos claros.
 Proporcionar el conocimiento, las herramientas y las habilidades que las
personas necesitan para manejar de manera efectiva los activos de información.
 Desarrollar procesos consistentes para el manejo e intercambio de información.
 Desarrollar un escenario de capacitación para influir en el cambio de creencias y
actitudes.
 Trabajar para cambiar las percepciones negativas de seguridad.
 Comunicarse, comunicarse, comunicarse.
Como se mostró anteriormente, cambiar una cultura requiere muchas actividades que
sean constantes y consistentes e involucren a las personas en todos los niveles de la
empresa. La consistencia ayudará a asegurar que las actividades comiencen a evocar un
comportamiento deseable que transiciones a normas no escritas (y posteriormente
escritas). Pequeños cambios intencionales pueden tener efectos en cascada en toda la
empresa. El aumento de la colaboración entre los grupos puede aumentar la confianza
y unir a las personas con un objetivo común. Una vez que las personas comienzan a
trabajar juntas, pueden comenzar a compartir experiencias, lo que ayudará a mejorar
las relaciones y las actitudes y a demostrar las similitudes.
La cultura de seguridad madura a medida que los patrones de comportamiento se
ajustan para que la seguridad se arraigue en las actividades diarias. A medida que la
capacitación y la sensibilización se amplían, se aumenta la concienciación y las unidades
de negocios individuales o los grupos comienzan a trabajar juntos hacia un objetivo
común: los comportamientos, las creencias y las actitudes cambiarán. Una vez que esto
ocurre, estos comportamientos se transmitirán a las nuevas generaciones de empleados
como normas y reglas. Aquí es cuando se puede ver el cambio verdadero.
Si bien parece una tarea desalentadora (y lo es), es posible cambiar el ADN de la
empresa. Los beneficios de crear una cultura consciente y conducente a la seguridad se
aplican no solo al gerente de seguridad sino también a la empresa; sus socios; y, lo más
importante, sus clientes.
información
Arquitectura
Arquitectura (figura 10) DI es el que conecta los elementos de organización y tecnología.
Mientras que la arquitectura a menudo se equipara a la infraestructura cuando se trata
de la seguridad o de TI, es importante tener en cuenta que la arquitectura constituye
mucho más que eso. En muchos aspectos, la arquitectura de seguridad de la información
es análoga a la arquitectura de la seguridad y la seguridad asociada a los edificios.
ARQUITECTURA
Arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se

deben cumplir (por ejemplo, la función que va a servir; si va a ser un hospital, una
escuela, etc.). Luego avanza a un modelo, una aproximación de la visión forjada a partir
de materias primas (servicios). Esto es seguido por la preparación de planos detallados,
las herramientas que se utilizan para transformar la visión / modelo en un producto real
y acabado. Por último, está el edificio en sí, la realización o la salida de las etapas
anteriores. De acuerdo con ISACA
Manual de Preparación al Examen CISM:
La noción subyacente para toda la arquitectura es que los objetivos de los
sistemas complejos deben ser exhaustivamente definidos; han desarrollado
especificaciones precisas; han sus estructuras diseñado y probado para la forma,
ajuste y función; y tiene su rendimiento monitoreado y medido en términos de los
objetivos de diseño y especificaciones originales.
información
ISO / IEC 42010: 2007 define la arquitectura como:

La organización fundamental de un sistema, encarnado en sus componentes, sus
relaciones entre sí y con el medio ambiente, y los principios que gobiernan su
diseño y evolución.
Una serie de enfoques específicos para la seguridad y la arquitectura de la empresa

existen, que generalmente puede ser categorizado como marcos o modelos de
procesos. Si una arquitectura empresarial incluye los objetivos de seguridad de la
organización, es inherentemente sienta las bases de la arquitectura de seguridad
detallada. Sin embargo, la separación de los elementos de seguridad de la arquitectura
general no ayuda a la integración, que es el objetivo primordial de BMIS. Si bien una
serie de enfoques para la empresa y, en concreto, las arquitecturas de seguridad están
disponibles, uno de los más comunes es The Open Group Architecture Marco (TOGAF).
Otro enfoque ampliamente aceptado es el framework de la empresa Zachman y el
marco de seguridad derivado de negocios Sherwood Aplicada Arquitectura de Seguridad
(SABSA).
Desde BMIS es un modelo que abarca una serie de áreas amplias, los primeros pasos en
la utilización que debe ser simple y directo. Como resultado, para los propósitos de este
documento el marco Zachman ampliamente inclusivo y fácilmente aplicable para la
arquitectura de la empresa es un buen punto de partida. Este marco se suma a BMIS
proporcionando niveles definidos de la arquitectura y componentes dentro de estos
niveles.
En el marco Zachman, cada elemento se muestra en relación con el nivel más alto,
aspectos menos detalladas y a los niveles por debajo en mayor granularidad. La jerarquía
de seis capas se muestra como contextual, conceptual, lógico, físico, componente y
operativa. Cada capa muestra las relaciones e interacciones de sus componentes. La
capa superior (contextual) está conectado directamente al diseño de la organización,
mientras que la física, de componentes y capas operacionales enlaza con el elemento
Technology.
Más allá de la definición de la ISO algo abstracta, la arquitectura en el sentido funcional,
inclusive mejor podría ser descrita como una agrupación de diseños relacionados desde
diferentes perspectivas en varios niveles de detalle. Para BMIS, sólo los tres primeros
niveles del modelo Zachman Empresa necesario considerar, como se muestra en la
figura 11.
información
El nivel más alto (contextual) define la relación de una estructura a su entorno. En

términos de un edificio, esto sería equivalente a una representación del edificio en su
entorno con las carreteras, aparcamientos, árboles, etc. La misma idea se aplica a la
seguridad de la información. Reside en el contexto de la organización, y la arquitectura
contextual describir su relación con la organización: en donde en la estructura que
existe, su relación con otras entidades orgánicas tales como finanzas, legal, marketing
y/o operaciones.
En este nivel, la Arquitectura DI existe para asegurarse de que la seguridad de la
información, además de cumplir con las leyes y reglamentos del país, así como
características específicas del sector de la industria, incluyendo las expectativas y
requerimientos de los clientes o socios. Además, los estándares de seguridad de la
información que se consideran las mejores prácticas pueden ser considerados. La
Arquitectura DI también es compatible con la estrategia de la organización en el
reconocimiento de los objetivos estratégicos y sus implicaciones para la arquitectura y
la tecnología de las soluciones de seguridad de la información.
El siguiente nivel inferior, por debajo de la arquitectura contextual, es el punto de vista
conceptual, que es el edificio equivalente del exterior de un edificio, desde diversas
perspectivas que se hace referencia como elevaciones. Para seguridad de la
información, esto va a definir lo que la función general se parece, sus dimensiones y
alcance. Se indicará los puntos de entrada y salida (puertas) y los puntos de visibilidad
(ventanas).
El nivel conceptual para la seguridad de la información asegura que la tecnología (físico
y lógico) no sólo ayuda, sino que permiten de forma activa, los objetivos de seguridad.
Este nivel tiene un conjunto de actividades y tecnologías que trabajan en la consecución
de un objetivo común de seguridad de seguridad relacionado entre sí, cooperativo e
integrado.
El siguiente nivel (lógico) de la arquitectura de seguridad es similar a la planta de un
edificio. Muestra las relaciones internas y la actividad fluye entre ellos.
información
El nivel lógico especifica el diseño más detallado de los componentes de seguridad, el

uso de la tecnología para asegurarse de que van a alcanzar los objetivos definidos, ser
resistente a los ataques e incluso sostener daños. En el plano lógico, el plan general de
arquitectura se crea que le da un sentido de la orientación a la gestión de la tecnología
y describe claramente qué hacer. También se pretende garantizar que la salida de una
tecnología de seguridad se comunica adecuadamente (en tiempo y formato) a las otras
tecnologías que utilizan, proporcionando la respuesta más eficaz y eficiente del proceso
de seguridad en la tecnología y el logro de su objetivo final, sin demora indebida.
Sin embargo, las arquitecturas de seguridad y tecnología no sólo dependen de los
objetivos del negocio, sino también en la arquitectura de la información general. La
información fluye de un punto de la empresa a otro debe ser considerado en detalle.
Además, el almacenamiento y recuperación de información son una parte intrínseca de
la arquitectura de seguridad.
Los conceptos y consideraciones de arquitectura de los edificios también deben ser
incluidos en los aspectos de seguridad de una arquitectura empresarial. Estos incluyen
elementos tales como la capacidad de expansión (escalabilidad) y utilidad para una
variedad de propósitos (adaptabilidad).
La arquitectura de la empresa debe incluir y permitir:
• Espacio para la evolución y mejora-Arquitectura debe tener en cuenta los
inevitables cambios en la organización y sus actividades, así como para las
actualizaciones y mejoras en el tiempo. Además, cuando la tecnología ofrece nuevas
posibilidades, la arquitectura va a alimentar al diseño y la estrategia de la
organización para proporcionar el incentivo para una evolución que pueden haber
sido puesto en un estado de espera, tanto a nivel conceptual y lógica.
• Espacio para la reacción a los cambios de contexto-El contexto es el panorama de
los negocios en el que opera la arquitectura. El contexto cambiará inevitablemente.
Adaptación, flexibilidad y robustez son atributos que deben ser considerados e
incluidos en las actividades de diseño. Arquitectura asegura que la tecnología va a
resistir los cambios, al igual que un edificio es resistente a los ataques o terremotos.
Si la arquitectura puede alimentar Organización con algunas características
específicas de la tecnología para apoyar o ser más fuerte de los eventos, esto
mejorará la capacidad de reacción de la empresa para seguir las propuestas,
necesarias o impuestas (por ejemplo, debido a la crisis) cambios.
• Aptitud para el uso-Tecnología implementaciones menudo no cumplen con los
requerimientos del negocio porque el contexto no se entiende o se ignora. Al igual
que la construcción de la arquitectura debe considerar si es para ser utilizado como
una iglesia o una planta de conservas de atún, arquitectura de la empresa debe
entender claramente los objetivos de negocio que la tecnología va a usar para
lograr. El más tecnología es adecuado para el propósito, mayor será la probabilidad
de que los objetivos de seguridad del negocio serán apoyados / habilitada por una
tecnología apropiada.
información
• Eficacia y eficiencia-efectividad y eficiencia en seguridad de la información

requieren soluciones tecnológicas relacionadas estar equipados con los indicadores
que miden el estado y el logro de los objetivos previstos. Los costos asociados con
el uso de la tecnología para la seguridad también se tienen en cuenta en la
arquitectura: adquisición, implementación, operación, monitoreo, mantenimiento
y gestión. El costo es un conjunto combinado de todos los recursos involucrados:
finanzas, tiempo y personal.
• Coherencia con la política y las normas-Arquitectura debe articular la política,
además de hacer frente a los requerimientos del negocio. Arquitectura asegura que
la tecnología sigue siendo coherente con las políticas y normas, y ayuda a mantener
actualizadas las soluciones de tecnología a través de la habilitación y de apoyo DI.
Si las soluciones de tecnología eran para impedir o dificultar la consecución de los
objetivos de las políticas y normas, esto crearía un problema grave que la
Organización tendría que resolver. Convergencia, coherencia y consistencia entre
todos los componentes de seguridad (los otros tres elementos y los otros cinco DIS)
son objetivos fundamentales para garantizar la eficacia y la eficiencia del plan de
seguridad y su gestión.
• Mantenimiento y facilidad de uso-buena diseño debe tener en cuenta cómo se
desarrollan y se mantienen con el tiempo los sistemas. Tecnología, si no es
modificada, envejecerá rápidamente y llegar a ser obsoletos. Como resultado, el
mantenimiento debe ser planificada en la arquitectura DI. Después de un período
determinado de tiempo, tanto el mantenimiento preventivo (para evitar la
degradación y obsolescencia) y mantenimiento ad hoc (en situaciones imprevistas)
se requiere para desarrollar adecuadamente el elemento de Tecnología.
Dado que la tecnología debe seguir siendo útil y

fácil de usar para que la gente no se vean La arquitectura debe asegurar
obstaculizados en sus actividades de la que el progreso está integrado
seguridad DI Arquitectura del día a día debe en el sistema de adaptarse a
asegurar que el progreso está integrado en el las demandas cambiantes.
sistema para adaptarse a las demandas
cambiantes.
En BMIS, La arquitectura es el DI entre Organización y Tecnología. La interacción entre
estos elementos es bidireccional, cada influir en la otra. El diseño de la organización y su
estrategia de negocio proporcionan los controladores y las restricciones a través de la
DI Arquitectura de TI y el medio ambiente operación física.
Éstas incluyen:
• Tamaño-El alcance y la Carta de la tecnología de seguridad son funciones de diseño
de la organización y la estrategia empresarial. En seguridad, tamaño representa la
parte o proporción que cada tecnología proporcionará en el logro de los objetivos de
seguridad mientras que la corriente restante.
información
• Capacidad (estática y dinámica)-La capacidad en explotación de las soluciones de

tecnología es una importante función de los requisitos de seguridad del negocio. La
planificación de capacidad para operaciones futuras, a su vez, en función de la
estrategia de negocio y las necesidades previstas. Esto se relaciona con la
planificación de capacidad física y planificación de la capacidad lógica.
• Funciones y responsabilidades-Roles, responsabilidades y actividades operacionales
se definen en la arquitectura como una función del diseño de la organización y los
requisitos de negocio anticipados. La tecnología también debe asegurarse de que la
seguridad informática es compatible con la segregación de la información cuando y
donde sea necesario, de modo que las funciones de negocio y funciones no son
contradictorias.
• Operaciones centralizadas y descentralizadas-Arquitectura hay que tener en cuenta
la forma y la estructura de la organización general. En términos de seguridad,
(jerárquicas) estructuras centralizadas varían significativamente de estructuras
organizativas descentralizadas (planas) y requieren una arquitectura de seguridad
diferente.
Las soluciones tecnológicas aplicadas deben seguir los requerimientos del negocio. Esto
incluye la coubicación física, el trabajo descentralizado y teletrabajo, y grupos de trabajo
especiales que se forman a intervalos poco frecuentes. La infraestructura de
enrutamiento y cortafuegos es un buen ejemplo: en una estructura organizativa
fuertemente descentralizado, hay una necesidad más acuciante de flexibilidad en la
conmutación, encaminamiento y de cortafuegos.
Por el contrario, la tecnología de seguridad puede permitir la centralización de las
operaciones seguras, incluso cuando las ubicaciones físicas están geográficamente
distribuidas, a veces en diferentes países o en otros continentes. Los ejemplos de una
estrategia de centralización virtual se expresa en la arquitectura de seguridad son redes
privadas virtuales (VPN) a través de redes de área amplia (WAN) o redes públicas,
videoconferencias seguras, y darknets seguras.
• Necesidades de calidad y seguridad-La arquitectura organizacional determina el
nivel mínimo requerido de calidad de los servicios de seguridad (QoSS) y parámetros
de diseño de los controles de seguridad, incluida la política. El elemento de
organización identifica los niveles deseados de calidad sobre la base de los
requerimientos del negocio y los objetivos de seguridad, que se reflejan a
continuación, en soluciones tecnológicas. Una vez más, la arquitectura se traduce
objetivos de la organización en la tecnología de 'derecho', y se informa a la tecnología
en términos de la calidad de servicio requerida.
información
El elemento de tecnología debe proporcionar información e influir en el elemento de

organización en forma de medidas y métricas. Algunos de los principales factores que
influyen en el diseño y la estrategia de la organización incluyen:
• Costo y el valor-¿Cuál es el costo (adquisición, implementación, operación,
administración, mantenimiento) de la tecnología de seguridad? ¿Cuál es el valor
añadido de la tecnología de seguridad de la información a la empresa para permitir
a los objetivos fijados?
• Capacidad- ¿La tecnología es capaz de proporcionar el servicio de seguridad
requerido? ¿Cuándo será posible? ¿Qué se puede hacer para reducir el tiempo para
lograr la capacidad total?
• Agilidad Tecnología - ¿La Tecnología será lo suficientemente ágil y versátil como
para seguir las cambiantes demandas de seguridad de la Organización, Proceso y
Gente? ¿Qué tan rápido deben ocurrir estos cambios? ¿Hay ventanas de tiempo en
la vida útil de las soluciones tecnológicas cuando los cambios serán más difíciles o
más fáciles de lograr?
• Disponibilidad-En los negocios requiere conectividad y la disponibilidad constante
de información. Mientras que la seguridad tiene la responsabilidad de proteger la
información, sino que también tiene la responsabilidad de asegurar que la
información esté disponible para todos los que obtengan el acceso cuando lo
necesitan. ¿Cómo puede la tecnología proporcionar soluciones para permitir la
interconexión segura, donde y cuando sea necesario? ¿Qué concesiones de
seguridad se puede aceptar, en su caso?
• Complejidad-Información y tecnología de la comunicación no siempre se utilizan las
soluciones estándar, creando así la complejidad. Existe un problema similar en el
entorno físico del otro lado de la tecnología, cuando la descentralización o
adquisiciones requieren el uso de varios edificios con soluciones de seguridad
divergentes. La Arquitectura DI proporciona el vínculo entre lo que la fusión o
adquisición de las organizaciones establecidas como sus objetivos, y la integración
de tecnologías divergentes que se pueden encontrar en los objetivos.
• Requisitos de espacio y energía necesidades -Tecnología controlados espacio y
energía suficiente para hacer funcionar. Esto es con frecuencia una carga cuando
hay una necesidad de aumentar el tamaño y la capacidad de TI. En términos de
seguridad, el medio ambiente físico crea una serie de problemas -por ejemplo,
donde hay enlaces a las infraestructuras públicas o cuando la instalación de
seguridad depende de los servicios externos. Un ejemplo es la frecuente falta de
energía eléctrica (voltaje) que a menudo restringe las operaciones del centro de
datos. Del mismo modo, el acoplamiento de seguridad de TI puro con 'entre' la
tecnología, tales como la gestión de instalaciones, instalaciones de bus de campo o
de climatización a menudo crean la necesidad de medidas de seguridad específicas.
• Consideraciones Arquitectura-Estos incluyen cómo un Organización reacciona para
dirigir los cambios tecnológicos o a los cambios tecnológicos indirectos causados
por el ambiente externo.
información
La arquitectura debe transmitir proactivamente cualquier información sobre los

cambios tecnológicos directos al elemento de la organización, tanto en términos de lo
que es el cambio y lo que significa el cambio para el negocio. Del mismo modo, la
arquitectura debe informar a la organización acerca de los cambios indirectos que
pueden desencadenarse en el entorno de la empresa, como actualizaciones importantes
o cambios de lanzamiento en aplicaciones clave. La seguridad de la información depende
de la retroalimentación regular y precisa que se origina en el elemento Tecnología y se
procesa dentro del elemento Organización, lo que lleva a decisiones informadas.
• Arquitectura y consideraciones de riesgo-Si bien la gente, procesos y tecnología
durante mucho tiempo han sido aceptados como la tríada de gestión de TI, hay
muchos riesgos de seguridad que se derivan de día a día imperfecciones, defectos y
errores en el sistema en su conjunto. Como la mayoría de los sistemas no siempre se
ejecutan en modo 'impecable', la arquitectura de seguridad debe ser suficientemente
elástico para adaptarse a las anomalías, incidencias y errores.
Algunos de los menos temas abordados que deben ser tomados en cuenta en la
evaluación del riesgo son los retrasos inherentes a la tecnología, la incapacidad de la
tecnología para aplicar plenamente los objetivos de seguridad y los requisitos de la
tecnología para alojar y realizar actividades comerciales y procesos de seguridad sin
dejar de ser fácil apropiadamente usar.
• Arquitectura de seguridad-Este proporciona una relación equilibrada entre
elementos fuertemente opuestos y la interacción de elementos en conflicto, y sirve
como un dispositivo para regular la tirantez entre la gobernabilidad, la arquitectura
y las operaciones de la tecnología de una organización. La arquitectura debe
permitir a la organización a comprender el equilibrio entre la tecnología de
seguridad demasiado y demasiado poco de ella. Como una tarea secundaria, la
arquitectura de seguridad es el factor decisivo en el equilibrio de 'tirantez', es decir,
la capacidad de respuesta de la toma de decisiones de la organización a los cambios
tecnológicos y viceversa.
Activación y Apoyo
La habilitación y de apoyo DI conecta los elementos de procesos y tecnología. En
términos de BMIS, es la interconexión dinámica a través de la que la tecnología permite
proceso, y el proceso a su vez soporta la implementación y el funcionamiento de la
tecnología, como se muestra en la figura 12.
información
A medida que la habilitación y de apoyo DI es el área que demuestra un proceso

equilibrado para apoyar la tecnología de la empresa en una dirección y mostrar la
tecnología de efecto tiene sobre los procesos de negocio en la otra dirección, es útil
examinar algunos ejemplos.
Hay un montón de ejemplos para ilustrar el hecho de que, en ausencia de un proceso
equilibrado que soporta la tecnología, soluciones de TI no cumplen con los objetivos de
negocio y convertirse en pasivos. Para reconocer los problemas antes de que salgan a la
superficie, algunas medidas policíacas '' deben estar en su lugar. Sin embargo, en un
subsistema DI Activación débil y soporte técnico, es probable que se ausente o ineficaces
tales medidas de apoyo.
Una fuerte habilitación y de apoyo DI debe tener en cuenta:
 Procesos equilibrados y un ajuste rápido a un nuevo estado de equilibrio
 La adhesión a las normas apropiadas
 El uso de controles apropiados
 Un fuerte enfoque de seguridad
 El reconocimiento de los requisitos de cumplimiento
Lo más importante, el sistema DI habilitación y de apoyo tiene que generar el deseado
retorno de la inversión (ROI) y cumplir con los objetivos de negocio.
Con la mayoría de las empresas que van a través de numerosas auditorías y el
cumplimiento revisa anualmente, la dependencia tiende a estar en las auditorías y los
comentarios dirigidos a la eficacia de los procesos y la seguridad de infraestructura de
TI. Que la confianza no está fuera de lugar, pero las organizaciones deben mirar más allá
información
de las auditorías y de cumplimiento opiniones y hacer un balance de sus procesos en

torno al uso de la tecnología.
Esto significa que las organizaciones deben primero entender la relación entre el
proceso y los elementos de la tecnología. Este DI ha sido nombrado Habilitación y Apoyo
en BMIS con la opinión de que el proceso permite la tecnología y la tecnología es
compatible con el proceso de negocio.
Tecnología necesita ser seleccionado, evaluado, implementado y controlado. Los
procesos tienen que ser diseñado, desarrollado, implementado y utilizado. La dificultad
que la mayoría de las organizaciones luchan con no es la falta de tecnología; procesos
son a menudo insuficientemente habilitada por la tecnología existente, mientras que la
abundancia de la tecnología dentro de cualquier organización es apoyada por
inadecuadamente los procesos existentes.
Muchas organizaciones se centran más en la tecnología misma que en la comprensión
de los procesos de negocio que la tecnología permitirá. Su punto de vista de la tecnología
es lineal, como se ilustra en la figura 13.
Este mapa de procesos es recta y secuencial, sin bucle de realimentación o hacer 'en
off'. Una vez que la tecnología se adquiere, la organización general utiliza el soporte del
proveedor para su implementación. Organizaciones veces reducir o eliminar el soporte
del proveedor sin necesidad de un proceso de repliegue en su lugar. La transferencia de
conocimientos y la documentación son ignoradas en favor de la fijación de los problemas
y hacer que la tecnología funcione en un modo práctico. En el pensamiento sistémico,
el modelo lineal no resuelve ninguno de los problemas que surgen de la implementación
de la tecnología secuencial y mantenimiento. Como consecuencia, la forma de pensar
BMIS favorece un bucle, como se representa en la figura 14.
información
El bucle permite volver a los pasos anteriores según sea necesario para adaptarse
sistémicamente cualquiera de los pasos en el ciclo. Por ejemplo, si la solución tecnología
parece poco claro o poco definido, la solución de negocio se revisa para asegurar la
alineación. Si la solución de negocio no es clara o plantea preguntas, puede ser necesario
volver a los requisitos de servicio originales formulados o incluso a los requisitos de
negocio globales. Sin embargo, esto no es una secuencia paso a paso como se muestra
en la figura 13. Es sistémica en que ningún paso en el bucle está siempre 'completado',
pero todos los pasos interactuar en el ciclo global y puede cambiar las soluciones de
tecnología y su despliegue.
Cuando la selección e implementación de tecnología son parte de la implementación de
una solución de negocio, hay un proceso cíclico que permite a los componentes de la
solución adecuados para desempeñar un papel. BMIS ayuda a asegurar una visión
integral y equilibrada de la habilitación de la tecnología. El modelo no aboga por una
tecnología de última generación o automatización completa, sino que se centra en la
habilitación de la empresa mediante el uso de la tecnología.
Los procesos son formas de lograr los objetivos. Sin objetivos, procesos no son medibles
y son de poca utilidad. Lo mismo se aplica a la tecnología (el objeto), que no tiene valor
si no permite la organización para lograr sus objetivos en la aplicación de su estrategia
(incluso si esta estrategia evoluciona).
De ello se desprende que existe una co-dependencia entre la tecnología de los
elementos de proceso y que hace que sea difícil aislar una de la otra. La habilitación y
de apoyo DI es una relación bidireccional fuertemente acoplado que puede ser
entendido sólo cuando se aplican los tres componentes básicos de los sistemas de
pensamiento (retroalimentación, el equilibrio y el retraso), como se describe más
adelante en esta sección.
información
TI dentro de una empresa

En su artículo 'Integración de la información del sistema', Wilhelm Hasselbring28
describe la fragmentación de los sistemas de información dentro de las empresas. Según
los investigadores, la mayoría de los fallos de seguridad no son el resultado de una falta
de estándares y tecnologías, sino de una falta de enfoque en la utilización de manera
adecuada para el beneficio de toda la organización. Tras el descubrimiento de un fallo
de seguridad, debido a un incidente o como el resultado de una auditoría en las
organizaciones correr para arreglar la falla, a veces sin entender la causa raíz o
correlacionarla con defectos similares descubiertos antes.
EJEMPLO
Si un archivo que contiene los números de EE.UU. Seguro Social (SSN) se envía sin cifrar y en contra de la
política de la organización, lo más probable es que la organización va a establecer una nueva práctica y
preguntar a sus empleados para cifrar los archivos, porque esa es la práctica común hoy en día.
Si bien esto puede funcionar en algunos casos, tiene sus propios defectos ya que las personas no siempre
siguen elEnproceso
el ejemplo
y laanterior, el enfoque
posibilidad de los
de que los sistemas
números de de BMISsocial
seguro hará que la organización
podrían a a la clara
ser enviados
seguiría tomar en cuenta
existiendo. otrospuede
Además, factores antes
haber de decidirse
otros modos depor 'la solución'.dePor
transferencia ejemplo,
datos que seuna
están datos
organización se adhiere a los conceptos de BMIS puede considerar las siguientes
transmitida en texto claro. Obviamente, el problema será mucho más amplio que solo la seguridad del
preguntas: Por lo tanto, las organizaciones deben considerar un enfoque diferente para resolver
correo electrónico.
problemas y desarrollar soluciones, que proporciona BMIS.
• Antes de implementar el cifrado de correo electrónico, ¿los procesos están bien

definidos y se siguen estrictamente? De lo contrario, ¿cuál es la probabilidad de que
el nuevo proceso (para cifrar archivos) se siga como se esperaba?
• ¿Hay personas / recursos disponibles para ayudar a responder preguntas o resolver
problemas como resultado de este nuevo proceso? ¿Los empleados están educados
para proteger la información confidencial? ¿Entienden por qué esta información
debe estar protegida?
• Es fácil de usar la tecnología de codificación propuesto? ¿Se requiere una gran
cantidad de intervención manual?
Desde un punto de vista organizativo, otras preguntas se les pueden pedir:

• ¿Es esta la mejor solución? ¿La mejor solución costo? ¿Es una solución a corto o largo
plazo? ¿Cuáles son las alternativas? ¿Qué problemas similares se han encontrado?
¿Qué problemas se presente futuro? ¿Cuál es el costo de cumplimiento? ¿Cómo
reaccionan los clientes a la solución?
información
Las preguntas en los cuatro puntos anteriores representan los elementos de BMIS.
Rompiendo preguntas por elemento de ayuda a lograr una solución equilibrada
mediante el análisis de las respuestas más en el contexto de las dimensiones de BMIS:
• Procesos están bien definidos; Sin embargo, la organización carece de la gente
entrenada para apoyarlos.
• El cifrado se ha intentado antes; Sin embargo, la cultura de la organización tiende a
ser muy informal y las personas enviar correo electrónico sin cifrar cuando piensan
que pueden 'confianza' a la otra parte.
Por lo tanto BMIS mejora la capacidad de una organización para relacionar los factores
que influyen críticos, y que la organización considera Cultura, Arquitectura, Factores
Humanos, Administración y habilitación y de apoyo temas, la administración puede
decidir eliminar (máscara) SSN a partir de extractos de archivos, eliminando así el riesgo
por completo.
Como la mayoría de los sistemas de información tienden a ser autónomo y operan
dentro de sus propios silos, el proceso de retroalimentación, o bien no existe o existe en
una capa que no filtra hasta el nivel de habilitación y de apoyo. La Figura 15 muestra
cómo operan mayoría de las organizaciones.
Estas unidades organizativas silos tienden a centrarse más en la arquitectura técnica que
en la estructura, tal como se describe anteriormente en esta sección. Esta es una de las
causas subyacentes de la no utilización de la tecnología para satisfacer los objetivos de
negocio.
Sin embargo, si las organizaciones permiten la integración de los silos, un resultado
diferente se puede observar (figura 16).
Es evidente que los procesos de organización integrados podrían conducir a mejores
resultados que permitan, así como a un mejor soporte.
Integración a través de las unidades de organización no es una tarea trivial. Cuando una
organización reconoce una deficiente y un entorno de apoyo DI, tiende a centrarse en
uno o más de los siguientes factores o recursos:
• Tecnología - La tecnología actual no permite cumplir con los objetivos de negocio;
por lo tanto, las nuevas inversiones deben hacerse para adquirir la tecnología más
reciente.
• Gente - No es una falta de capacidad de gestión, los recursos humanos,
conocimientos, motivación o compromiso.
• Cultura - Históricamente, así es como las cosas han funcionado, por lo que no se
puede cambiar.
información
En muchas culturas organizacionales, las personas evitan resaltar los problemas hasta
que ocurre algo drástico. Aquí es donde ayuda BMIS, con su enfoque de sistemas.
Identificar y enfocarse en todos los factores que pueden contribuir al problema puede
resultar en planes de acción que no solo ayuden a resolver el problema, sino que
también establezcan una hoja de ruta para implementar de manera proactiva una
infraestructura efectiva de habilitación y soporte de DI. Este mapa de ruta variará de
una organización a otra, pero es probable que tenga los componentes clave que se
muestran en la figura 17.
información
Los componentes clave de la infraestructura DI habilitación y de apoyo son:

• Objetivos de negocio de alto nivel-Información la tecnología es un habilitador de
negocios, ya que ayuda a reducir los costos de operación, mejora la productividad y
genera un nuevo crecimiento. La implementación de un sistema de contabilidad o
plan de marketing nueva no es probable que genere crecimiento a largo plazo o
reducir los costos en toda la organización. Las empresas deben fomentar las
iniciativas de toda la empresa, para lograr los objetivos de negocio generales amplias
como la reducción de costes, que es el objetivo final alcanzado por la habilitación y
de apoyo DI.
• Requisitos detallados del negocio-Business requisitos son el conjunto detallado de
las solicitudes de negocios que el sistema debe cumplir para ser exitoso. Los
requisitos de negocio deben ser reunidos sin hacer referencia a la tecnología.
Reuniendo los requisitos de negocio es una actividad crítica, incluso si el enfoque del
proyecto es una actualización de la tecnología o de actualización.
• Marcos de arquitectura empresarial y de procesos-Los planes y objetivos de la
tecnología deben alinearse con los planes y objetivos de la organización. Para que eso
ocurra, áreas y procesos funcionales clave, junto con sus necesidades de intercambio
de información y servicio de consumo/entrega, deben ser alineados e integrados. El
vehículo de lograr esto es arquitectura de la empresa.
Según P. Baltzan y A. Phillips, "las compañías que construyen una base para la ejecución
deben usar su arquitectura empresarial como una brújula, dirigiendo a la empresa hacia
su modelo operativo deseado".
información
Los procesos arquitectónicos de la empresa garantizan una integración vertical y

horizontal, siempre que el negocio de requisitos detallados han sido considerados y
documentados. Un buen ejemplo es el proceso de identificación y autenticación dentro
de una organización. A menos que la solución tecnológica Identidad Access
Management (IAM) está integrado en todas las partes del BMIS, el resultado será
incompleta y vulnerables ya que los empleados que han dejado la organización todavía
será capaz de acceder a información crítica un problema perenne. Sin embargo, no hay
pruebas suficientes para demostrar que muchas organizaciones han comprado la
tecnología sin tener en cuenta el punto de vista general de la organización. Por otra
parte, no han considerado la integración de esta tecnología desde una perspectiva de
apoyo, tales como quién va a manejar las llamadas de los usuarios en busca de ayuda o
cómo la tecnología se integrará con los sistemas heredados. Con demasiada frecuencia,
las organizaciones escuchar al vendedor y asumen que el producto esté de alguna
manera entender y satisfacer sus necesidades fuera de la caja.
• Grupos de trabajo multifuncionales-Tener grupos de trabajo multifuncionales que
supervisan los puntos mencionados en los tres puntos anteriores es esencial para
establecer una estructura de apoyo y DI Activación exitosa. En lugar de una o dos
personas tratando de comprender toda la empresa, es aconsejable que los miembros
de varias unidades de la organización se reúnen para establecer objetivos de negocio,
entender los requisitos de negocio y desarrollar una arquitectura empresarial. Incluso
en una situación en la que existe una arquitectura de este tipo, pero no es eficaz, es
fundamental para establecer un grupo de trabajo multidisciplinario a fin de
diagnosticar el problema y recomendar una solución.
Hay otras razones para crear equipos
multifuncionales. Un fuerte habilitación y de apoyo DI Un fuerte y Habilitación de soporte
que incorpora puntos de vista multidisciplinares DI que incorpora puntos de vista
contribuye a una mayor seguridad mediante la multidisciplinares contribuye a una
eliminación de redundancias y fomentar una mayor mayor seguridad mediante la
comunicación. Hay otro aspecto que también debe eliminación de redundancias y
tenerse en cuenta: fomentar una mayor
comunicación.
... Las computadoras tienen para interactuar con los
usuarios de alguna manera, en algún momento, por alguna razón. Y esta interacción es
el mayor riesgo para la seguridad de todos ellos.
Los equipos multifuncionales pueden proporcionar información valiosa para el proceso

de gestión de riesgos de la empresa al compartir sus propias experiencias, tanto buenas
como malas. Por ejemplo, a las personas les gusta el hecho de que es posible que no
tengan que ingresar contraseñas en cada pantalla que ingresen. Habilitación y soporte
Los sistemas DI fomentan la seguridad de la tecnología al tiempo que mantienen los
procesos fáciles de usar (por ejemplo, mediante la introducción de un mecanismo de
inicio de sesión único).
información
Los factores humanos son un ingrediente esencial de los sistemas de Habilitación y

Soporte.
Emerger
Al escuchar el término 'EMERGER', los conceptos que vienen a la mente pueden incluir
la aparición, el desarrollo o la evolución. En modelos comerciales anteriores, podría
haberse llamado 'mejora continua'. Peter Senge llama a esto "aprendizaje". Otra
definición de emerger es "el surgimiento de estructuras, patrones y propiedades
novedosas y coherentes durante el proceso de autoorganización en sistemas
complejos". En BMIS, puede verse como el surgimiento de nuevas oportunidades para
los negocios, nuevos comportamientos, nuevos procesos y otros elementos relevantes
para la seguridad, a medida que evolucionan los subsistemas entre las personas y los
procesos (figura 18). El aspecto de "aprendizaje" se deriva del hecho de que incluso los
sistemas aparentemente caóticos, como en organizaciones bastante nuevas o
situaciones imprevistas, tienden a desarrollar alguna forma de orden. La emergencia en
biología y cibernética a veces crea 'orden del caos' de una manera impredecible.
Emerger como tal no siempre indica mejoras en términos de seguridad. A medida que
surgen nuevas formas espontáneas de hacer las cosas dentro de una organización,
pueden ser positivas o negativas. Por ejemplo, el comportamiento habitual que es
contrario a las políticas y estándares puede evolucionar con el tiempo. Del mismo modo,
el nivel de seguridad puede mejorar a través del acuerdo tácito de las personas sobre
cómo manejar nuevos sistemas o aplicaciones. La forma en que las personas (como un
elemento BMIS) interactúan con los procesos a menudo se caracteriza por emerger, por
lo que es un DI muy poderoso. Es un área que aborda la ambigüedad y la evolución y, si
se maneja bien, puede mejorar la capacidad de la empresa para ajustarse al cambio,
sobrevivir a un evento imprevisto e innovar.
información
COMPRENDER EL EMERGER
La naturaleza humana dicta que la ejecución de procesos por personas dentro de una
empresa varía con el tiempo y cada vez que se ejecuta un proceso. Un proceso en sí
mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que
se ejecuta. Esto significa que solo parte del proceso es predecible, mientras que otras
partes pueden tener un elemento de coincidencia. Para poder comprender el impacto
de este hecho en la seguridad de la información, la ejecución de un proceso por personas
se subdivide en las siguientes categorías:
 Basado en procedimientos escritos: la ejecución de tareas en función del flujo
específico de acciones definido en un procedimiento oficial
 Basado en políticas: la ejecución de tareas basadas en la traducción de reglas de la
política de seguridad de la empresa.
 Ad hoc: la ejecución de tareas de forma aleatoria, no cubiertas por un
procedimiento o regla de política.
Cada categoría de ejecución contiene diferentes elementos de incertidumbre
introducidos por las características básicas de la naturaleza humana: la capacidad de
pensar, decidir y reaccionar en diversas situaciones:
Basada en procedimientos escritos: las personas pueden o no cumplir con un
procedimiento; pueden cometer errores cuando siguen un procedimiento o lo
malinterpretan. El procedimiento en sí puede no ser apropiado para cubrir todas las
situaciones posibles, o puede ser muy difícil y confuso de seguir. En algunos casos,
varias personas pueden decidir, sin saber lo que hacen los demás, interpretar los
procedimientos escritos de manera similar. Como resultado, emerge una nueva
forma de manejar el procedimiento.
Las reglas basadas en políticas son más generales que un flujo de procedimiento
específico. Se pueden traducir de manera diferente en situaciones distintas, mal
traducidas o ignoradas. Las reglas pueden ser demasiado estrictas o demasiado
generales, por lo que no son aplicables en situaciones críticas en el tiempo o
proporcionan demasiadas alternativas, por lo que no sirven al alcance de la
seguridad de la información.
La incertidumbre ad hoc se maximiza cuando las personas no reciben instrucciones
de seguir procedimientos o reglas para ejecutar procesos ya que el comportamiento
no se ubica en un marco específico.
El concepto de emerger proviene de muchos campos diferentes, incluyendo la teoría de
sistemas, la teoría de juegos y la naturaleza misma. La teoría del caos también explica el
concepto de emerger en cierta medida. En caos o situaciones descentralizadas o sin
líder, puede surgir o aparecer algún tipo de orden de una manera aparentemente
espontánea y sin una causa obvia. Del mismo modo, las personas pueden decidir
adoptar nuevas tecnologías o procesos individualmente, por ejemplo, cuando utilizan TI
en el hogar de una manera diferente a cómo se usa en el lugar de trabajo. La motivación
para que las personas lo hagan puede estar en los factores humanos y la conveniencia
información
de uso o en un contexto cultural que influye en su comportamiento. En BMIS, Emerger

es la DI entre los elementos de Gente y Proceso. Sin embargo, cualquier cosa que la
gente piense o haga debe tener en cuenta las otras DI que influyen en las Personas:
factores humanos y cultura.
El emerger, como proceso de aprendizaje, es fundamental para la seguridad de la
información, ya que ayuda a comprender los requisitos para configurar estrategias de
seguridad efectivas que se ajusten al comportamiento de la empresa como un todo.
Ayuda a personalizar, mejorar y expandir los procedimientos y las reglas de seguridad
para llevar la seguridad de la información de la teoría a la práctica. Es un proceso lento
que requiere un entorno de libre expresión en el que las personas pueden proporcionar
retroalimentación que contribuye a que la seguridad sea un habilitador empresarial que
no impida el desempeño, sino que ayuda a organizar mejor la ejecución de los procesos.
Para garantizar una seguridad sólida en las organizaciones, debe haber un nivel de
preparación y un clima de "haber cubierto todas las bases" en términos de los elementos
de Gente, Organización, Proceso y Tecnología. El sistema de recompensas e incentivos
no debe favorecer solo la preservación de procesos antiguos, sino también alentar
activamente el desarrollo de nuevos procesos y formas de hacer las cosas y la
identificación de problemas antes de que surjan en la práctica.
El emerger se puede clasificar como positivo o negativo. El emerger positivo está
relacionado con el proceso de aprendizaje para comprender las necesidades de
seguridad y mejorar la seguridad de la información. El emerger negativo está
relacionado con el aumento del fenómeno de incidentes de seguridad inexplicados y la
falta de alineación entre la seguridad de la información y los objetivos comerciales.
Por lo tanto, Emerger DI introduce un elemento de evolución y se adapta a los cambios
a veces inesperados, o incluso impredecibles, que ocurren en el día a día del negocio.
Como concepto, también permite a las empresas anticipar dichos cambios e integrarlos
en el sistema de seguridad general y sus subsistemas.
Factores Humanos
Factores humanos es el DI que conecta los elementos de las personas y la tecnología. Es
un campo extensamente documentado que cubre muchas áreas tales como:
 La ciencia de la comprensión de las propiedades de la capacidad humana, la
ergonomía y los límites de las habilidades humanas.
 Aplicación de esta comprensión al diseño, desarrollo y despliegue de tecnologías y
servicios.
 Arte de asegurando la aplicación exitosa de ingeniería de factores humanos a un
programa.
El DI de los factores humanos (figura 19) se ha denominado interacción persona-
computadora (HCI), la interfaz hombre-máquina y la ergonomía. En la práctica, gran
parte del trabajo sobre facilidad de uso y facilidad de uso se relaciona con esta DI.
información
Los factores humanos DI también incluye el estudio de cómo los humanos interactúan
con la tecnología y el desarrollo de herramientas que facilitan el logro de objetivos
específicos, en este caso, los objetivos de seguridad de la información. Dentro de BMIS,
los factores humanos DI interactúan con los elementos de personas y tecnología. Esta
relación se debe al hecho de que las debilidades en la seguridad pueden ocurrir
fácilmente debido a la forma en que las personas usan la tecnología y su comprensión
de la necesidad y la adhesión a los conceptos de seguridad. Del mismo modo, la
tecnología como elemento puede mejorar en gran medida la calidad del trabajo y la
forma en que las personas realizan sus tareas.
En general, los tres objetivos principales dentro de los DI de los Factores Humanos se
relacionan con el operador humano (cuerpo y mente) y los sistemas circundantes que
interactúan con el usuario humano. Para comprender y manejar la tensión en esta DI, el
primer paso es diagnosticar o identificar los problemas y deficiencias en la interacción
humano-sistema de un sistema de seguridad existente. Posteriormente, hay cinco
enfoques diferentes que pueden utilizarse para introducir mejoras:
 Diseño del equipo: cambia la naturaleza del equipo físico con el que trabajan los
humanos.
 Diseño de tareas: se enfoca más en cambiar lo que hacen los operadores que en
cambiar los dispositivos que usan. Esto puede implicar la asignación de una parte
o la totalidad de las tareas a otros trabajadores o a componentes automatizados.
 Diseño ambiental: implementa cambios tales como iluminación mejorada, control
de la temperatura y reducción del ruido en el entorno físico donde se lleva a cabo
la tarea.
información
 Capacitación de los individuos: Mejor preparación a los empleados para los

desafíos que encontrarán en el entorno laboral enseñando y practicando los
necesarios habilidades físicas o mentales
 Selección de individuos: una técnica que reconoce las diferencias individuales
entre los humanos en cada dimensión física y mental que es relevante para un
buen desempeño del sistema. Tal desempeño se puede optimizar seleccionando
operadores que posean el mejor perfil de habilidades para el trabajo y fortalezcan
de manera selectiva ciertas habilidades en todos los equipos.
El modelo simple People-Technology consiste en una persona que interactúa con una
'máquina' en algún tipo de entorno. La persona y la máquina / entorno se modelan como
dispositivos de procesamiento de información, cada uno con entradas, procesamiento
central y salidas. Las entradas de una persona son los sentidos (por ejemplo, ojos, oídos)
y las salidas son efectores (por ejemplo, manos, voz). Las entradas de una máquina son
dispositivos de control de entrada (por ejemplo, teclado, mouse) y las salidas son
dispositivos de visualización de salida (por ejemplo, pantalla, alertas de voz).
El entorno puede caracterizarse físicamente (por ejemplo, temperatura ambiente,
ruido, entorno cerrado), cognitivamente (por ejemplo, presión del tiempo, conciencia y
comprensión, riesgo) y/o organizativamente (por ejemplo, estructura organizativa,
implicación de la gestión). Esto proporciona una manera conveniente para organizar
algunas de las principales preocupaciones de la ingeniería de factores humanos: la
selección y diseño de pantallas y controles de máquinas; el diseño y diseño de lugares
de trabajo; diseño para mantenibilidad; el diseño del ambiente de trabajo y, en
particular, la infraestructura de seguridad.
Como ejemplo, conducir un vehículo es un ejemplo familiar de un sistema hombre-
máquina simple. Al conducir, el humano recibe entradas desde el exterior del vehículo
(por ejemplo, sonidos y señales visuales del tráfico, obstrucciones y señales) y de
pantallas dentro del vehículo (por ejemplo, el velocímetro, indicador de combustible e
indicador de temperatura). La persona evalúa continuamente esta información, decide
los cursos de acción y traduce esas decisiones en acciones sobre los controles del
vehículo, principalmente el acelerador, el volante y los frenos. Finalmente, el conductor
se ve influenciado por factores ambientales como el ruido, los humos y la temperatura.
El estudio de la ergonomía tiene su origen en la Revolución Industrial y surgió como una
disciplina de pleno derecho durante la Segunda Guerra Mundial. Se reconoció que el
diseño de la cabina del avión necesitaba considerar la interfaz humana para controles y
pantallas. Los ingenieros de diseño se centraron en la tecnología y los psicólogos
industriales trabajaron para optimizar la interfaz. En algunos casos, el diseño de factores
humanos puede afectar la rentabilidad de la línea de fondo o puede ser una cuestión de
vida o muerte, por ejemplo, al diseñar interfaces en industrias de alto riesgo. Las
empresas se dieron cuenta de que el éxito de un producto depende del buen diseño de
los factores humanos.
información
Las personas trabajan mejor y cometen menos errores (lo que puede reducir el riesgo
de seguridad) cuando se encuentran en un entorno familiar. Continuando con el tema
del vehículo, no existe una norma real que prescriba cuál de las palancas de control en
el costado del volante realiza qué función, incluso dentro de un solo fabricante. Cuando
un conductor se mueve de un vehículo a otro, incluso si esto ocurre con regularidad, es
muy fácil encender los faros cuando se trata de lavar el parabrisas o indicar un giro
cuando se desea encender las escobillas del limpiaparabrisas.
Además de la ergonomía, existen problemas tales como la facilidad de uso que
contribuyen a los riesgos de seguridad que una empresa puede enfrentar en los DI de
Factores Humanos. Por ejemplo, una empresa puede invertir en tecnología robusta para
proteger la información, como los sistemas de protección contra intrusos (IPS), firewalls,
soluciones de prevención de pérdida de datos (DLP) y correlacionadores de eventos. Si
bien muchos de estos dispositivos están preconfigurados con políticas estándar,
requieren personalización basada en el riesgo de la empresa y el diseño de la red. Los
errores en la configuración pueden hacer que las máquinas se comporten de forma
inesperada, lo que da como resultado, incidentes de seguridad imprevistos. Del mismo
modo, es importante que el personal de seguridad operacional esté capacitado en el
monitoreo de estos dispositivos para que cuando ocurra un incidente, se note tan
pronto como sea posible. En muchos casos, la configuración de seguridad inicial de una
solución de tecnología lista para usar no es lo que debería ser, debido a que la
configuración inicial se considera el 'mínimo indispensable' para dar cabida al mayor
número de clientes posible. Del mismo modo, introducir nuevas reglas y personalizar
una solución de seguridad puede no ser intuitivo.
Las tecnologías implementadas por la organización de seguridad también deben
considerar la aceptación del usuario. Si las tecnologías diseñadas para proteger los
activos de información comienzan a reprimir la productividad o interrumpen las
operaciones diarias, no pueden considerarse eficientes o efectivas. Por lo tanto, es
imperativo que se tenga en cuenta la aceptación del usuario al implementar los
controles. Los factores humanos DI es uno de los motivadores que dan forma al
comportamiento del usuario, mientras que el otro es la cultura DI. Ambas influencias
deben tenerse en cuenta.
Es un hecho conocido que los humanos pueden y controlan los controles de seguridad.
Muchas empresas han implementado las últimas y mejores tecnologías solo para que
los empleados trabajen en torno a los controles. Si bien la última y mejor tecnología es
fantástica, por sí sola puede crear un nuevo riesgo para la empresa: una falsa sensación
de seguridad. Un ejemplo de una falsa sensación de seguridad son los controles actuales
utilizados en los aeropuertos. ¿El público que viaja es realmente más seguro cuando
vuela debido a los procedimientos de seguridad a menudo intrusivos requeridos entre
el check-in y la puerta de embarque, o estos procedimientos de seguridad son
meramente un "espectáculo", sin valor real?
información
Toda la seguridad en vigor desde los ataques terroristas del 11 de septiembre de 2001
contra varios objetivos estadounidenses no ha logrado identificar al menos dos intentos
terroristas conocidos de alto perfil en los aviones. En ambas situaciones, el presunto
terrorista sabía qué controles de seguridad había en su lugar y los evitaba ya sea
escondiendo materiales en áreas no controladas o usando materiales no líquidos para
explosivos. Este fenómeno se debe parcialmente a Emerger DI y los Factores Humanos
DI. Los perpetradores invirtieron el pensamiento lineal (y reactivo) de la administración
de la seguridad simplemente explotando una combinación de factores y lagunas de
seguridad que no se habían considerado antes. Estudiaron las medidas de seguridad
implementadas y luego intentaron una violación de seguridad en lo que consideraron
un eslabón débil de la cadena. En términos de factores humanos en materia de
seguridad, esto destaca cómo los individuos superarán sistemáticamente las
disposiciones de seguridad existentes.
Como resultado, se implementaron controles reactivos adicionales que pueden hacer
que la gente se sienta segura, pero que en realidad no mitiguen el riesgo de que los
terroristas contrabandeen armas a un avión. De hecho, los controles forzaron la
emergencia. Después del incidente inicial de bombardeo de calzado, muchos
aeropuertos obligaron a los pasajeros a quitarse los zapatos y no transportar líquidos en
un avión. En respuesta, los planes de los terroristas continúan evolucionando y
explotando diferentes áreas en el perímetro donde la seguridad no es tan estrecha,
mientras que la gente común sufre de pies congelados mientras hacen cola. En contraste
con el pensamiento sistémico que aplican los terroristas potenciales, la seguridad
reactiva en los aeropuertos no tiene en cuenta los pensamientos de seguridad holísticos:
agregar más controles y hacer que volar sea más engorroso no aumenta el nivel real de
seguridad.
Como se mencionó anteriormente, la tecnología de la información puede proporcionar
las respuestas, pero las respuestas no pueden reemplazar la formulación de preguntas
de seguridad. Cuando las personas simplemente confían en la tecnología sin entenderla,
incluso las debilidades de seguridad más obvias a menudo se pasan por alto. Esto se
aplica a todos los niveles de la organización:
 Los ejecutivos confían excesivamente en la tecnología de la información y otras
soluciones mecánicas para proporcionar la infraestructura de seguridad necesaria.
 Los gerentes confían en la existencia de controles basados en la política de
seguridad para garantizar que no haya puntos débiles.
 El personal se siente cómodo al no representar una debilidad de seguridad porque
esta es responsabilidad de otra persona, y seguir los procedimientos al pie de la
letra es una salvaguarda razonable.
Los posibles problemas que debe abordar esta DI incluyen, por tanto, entre otros:
 No comprender no solo los requisitos de seguridad, sino la razón de ellos.
 No apreciar los conceptos de riesgo comercial y el posible impacto de las
deficiencias de seguridad.
información
 Falta de conocimiento e implementación de los controles del sistema disponibles

que respaldan la seguridad de la información.
 Error humano en forma de mala memoria o una simple falta de atención a los
detalles.
 Factores humanos externos como sobornos, corrupción y problemas sociales, que
pueden influir en el nivel de conciencia de la seguridad y el cumplimiento de los
controles
 Las tendencias humanas naturales por las que las personas hacen un uso indebido
de las instalaciones informáticas para sus propios fines.
Naturalmente, esto se relaciona no solo con los DI de los factores humanos, sino
también con el modelo general. Esto encaja con la naturaleza holística de BMIS y las
interdependencias entre todos los elementos y DI dentro del modelo.
El impacto de los factores humanos DI en el elemento Personas y el efecto del elemento
en la DI son, por lo tanto, fáciles de entender, pero difíciles de abordar; sin embargo,
este vínculo puede ser el más crítico para que el sistema de administración de seguridad
aborde lo que a menudo es la parte más débil.
Algunas personas tienen una aversión natural al uso de cualquier tecnología (no solo TI),
y esto tiene un efecto material, y probablemente perjudicial, sobre el elemento
Tecnología. Las personas pueden sentirse confundidas o molestas por los controles
técnicos que causan demoras en la productividad. Por lo general, existen varias razones
por las que las personas pueden no querer adoptar controles técnicos de seguridad.
Cuestiones como la edad, la experiencia técnica y la tolerancia a la ambigüedad influyen
en su efectividad.
La edad y la educación por sí solas, sin embargo, no indican el uso correcto de TI. El
sistema de gestión de la seguridad de la información también debe abordar la posible
falta de comprensión garantizando que los "errores" no puedan suceder. Como ejemplo,
un banco importante sufrió una serie de 'infecciones' graves y dañinas de virus
informáticos en la red corporativa. Al investigar el incidente, los analistas forenses
descubrieron que:
Los usuarios dentro de las sucursales habían descubierto que podían acelerar los
tiempos de respuesta de la red apagando el software antivirus de escritorio.
Los usuarios tenían una comprensión pobre no solo de la naturaleza de un ataque
de virus, sino también de los procedimientos de escalación e informes.
El segundo problema fue el de la capacitación y la conciencia deficiente, pero el primero
debió haber sido prevenido por el departamento de TI que configuró la configuración
del escritorio de tal manera que los usuarios podían desconectar el software antivirus.
Este fue un caso simple, pero a menudo es una cuestión simple, que fácilmente se pasa
por alto al crear la infraestructura de seguridad, que puede conducir a las mayores
debilidades.
información
Los Factores Humanos DI también influyen en el elemento de Tecnología al requerir la

instalación de una serie de soluciones técnicas para problemas intrínsecamente
"humanos". Estos incluyen, pero no están limitados a:
 Antivirus y otro software 'malware'
 Cortafuegos para restringir el tráfico de Internet
 Software de filtrado para prevenir el uso indebido de Internet e identificar
intentos
 Sistemas de detección de intrusos basados en la red (IDS) para identificar
usuarios inapropiados y potencialmente peligrosos acceso
En conclusión, abordar los problemas de la DI de los Factores Humanos y su relación con
los elementos de Gente y Tecnología requiere una cuidadosa atención a los detalles;
implementación y aplicación de todos los controles y restricciones disponibles basados
en el sistema; establecimiento de controles de gestión o 'revisión por pares', según sea
necesario; y, sobre todo, el establecimiento de un proceso continuo de conciencia de
seguridad efectiva en toda la organización.
Las áreas de interés para los profesionales de seguridad incluyen:
 Comunicación
 Análisis de tareas y análisis de usabilidad, incluyendo requisitos funcionales y
asignación de recursos
 Descripciones y funciones de trabajo, procedimientos relacionados con el trabajo
y utilización de estos procedimientos
 Conocimientos, habilidades y habilidades
 Diseño de control y visualización
 Estrés
 Visualización de datos
 Diferencias individuales
 Envejecimiento, accesibilidad
 Seguridad
 Error humano
Todas las áreas enumeradas anteriormente deberían ser consideradas y, cuando sea
necesario, dirigidas para asegurar que el efecto de los factores humanos en la seguridad
de la información sea beneficioso y no contraproducente. Si la única tecnología
disponible para las personas es un martillo, ¿cuántos problemas de seguridad se parecen
a un clavo? ¿Y cuántas 'soluciones' existen para golpearlo?
información
3. Usando BMIS
Si bien el modelo integra todos los componentes y actividades dentro de un programa
de seguridad, el uso práctico debe seguir una serie de fases. Este enfoque gradual
asegura que las medidas y soluciones de seguridad existentes se adopten
completamente en BMIS y que las inversiones existentes estén protegidas. Usando BMIS
no se trata de reinventar la rueda, lo que está en su lugar dentro de una organización es
un aspecto positivo que debe ser reconocida y utilizada en consecuencia. Los cambios
en el programa de seguridad que son una consecuencia directa del uso de BMIS
generalmente se explican por sí mismos si las fases se implementan paso a paso.
En esta etapa, BMIS es un concepto nuevo que aún no ha logrado un amplio
reconocimiento. Sin embargo, ISACA está planificando y llevando a cabo estudios de
casos de la vida real que se publicarán oportunamente para permitir decisiones
informadas sobre el uso de BMIS en programas de seguridad prácticos. La siguiente
sección, por lo tanto, aborda las fases genéricas que son necesarias para:
 Integrar completamente el programa de seguridad existente.

 Analice e internalice las medidas de seguridad
detalladas y las soluciones implementadas. Al utilizar BMIS, el enfoque
 Alinee los estándares, las regulaciones y los marcos tradicional de hacer una cosa
actuales con BMIS. tras otra funcionará solo
 Identifique claramente las fortalezas y debilidades en cuando las dependencias
la seguridad existente.
entre estas actividades se
 Use el sistema de seguridad dinámico que presenta
BMIS. entiendan bien.
 Administrar la emergencia dentro de la organización para maximizar las mejoras
de seguridad.
La primera suposición en el pensamiento sistémico es que los cambios en un extremo
del sistema inevitablemente, causarán cambios en otras partes. Al utilizar BMIS, el
enfoque tradicional de hacer una cosa tras otra funcionará solo cuando las
dependencias entre estas actividades se entiendan bien. Una mirada al modelo hace
evidente que los cambios dentro de un elemento también influirán en las DI y,
posteriormente, en los otros elementos; sin embargo, esto debería considerarse una
ventaja: En muchos casos, los cambios en un elemento que no está directamente
enfocado pueden provocar los cambios deseados en otras partes del programa de
seguridad. Los administradores de seguridad experimentados lo saben, solo piense en
los cambios repentinos en el comportamiento humano que vienen con un nuevo
director ejecutivo (CEO) que está interesado en la seguridad como tema. Corre la voz de
que la gente debe tener cuidado con lo que hacen, y hay una modificación sutil y
aparentemente repentina en la cultura de la empresa. Mientras que el cambio de
personal de alto nivel, ha cambiado inicialmente la cultura de la organización como un
todo, la vista sistémico muestra además cómo este cambio de cultura se refleja en todos
los elementos y DI del modelo.
información
En la práctica, el uso de BMIS dará lugar a muchos cambios. Inicialmente, los elementos
estáticos del programa de seguridad se incorporan al modelo. Esto incluye conceptos y
políticas, así como tecnología. Los estándares que están en uso o los marcos en TI
forman parte de este ejercicio de llenar BMIS con lo que ya existe. Paso a paso, se
formará una imagen que resalta claramente las áreas fuertes y débiles en términos de
elementos y DI. Como ejemplo, el elemento de seguridad de la Organización puede ser
un punto fuerte, pero el elemento Personas y los factores humanos DI pueden ser
puntos débiles en la imagen general. En este punto, el modelo muestra su verdadero
valor: Las debilidades de seguridad se pueden observar en cualquier parte de la
empresa, pero la causa raíz puede estar en un área completamente diferente. El trabajo
sistémico en los elementos y DI ayuda a descubrir estas relaciones de causa y efecto, y
se pueden definir acciones para mejorar las debilidades.
Posteriormente, cualquier cambio en el negocio puede enviarse a BMIS y traducirse en
cambios de seguridad adaptativos. El modelo, a su vez, visualizará la retroalimentación
que se produce dentro del sistema general y mostrará claramente lo que significa un
cambio de negocio y lo que se debe hacer para internalizarlo en el programa de
seguridad. Del mismo modo, los modelos de conducta emergentes, la tecnología y las
tendencias en la gobernanza pueden incorporarse al modelo, que los abordará dentro
del programa de seguridad.
En balance: Analizando el programa de seguridad existente

En la mayoría de las empresas, algún tipo de programa de seguridad ya está en marcha.
Esto puede ser en forma de un conjunto de políticas y reglas, o una colección de
soluciones técnicas. El programa de seguridad está sujeto a la dirección general
proporcionada por el gobierno de la empresa y sus áreas subsidiarias, a saber, la
gobernanza de TI y, en algunos casos, las disposiciones detalladas de gobernanza de
seguridad. El programa de seguridad implementa una capa debajo del marco general de
gobierno. Si bien el gobierno corporativo y los artículos relacionados son fuerzas
externas, influyen claramente en BMIS y en cómo se usa de acuerdo con las reglas
aceptadas que se han establecido para la empresa. Además, es probable que al menos
una persona sea responsable (en cierta medida) de administrar y mantener la seguridad.
Sin embargo, todo lo que existe en términos de seguridad de la información puede ser
heterogéneo y fragmentado, a veces con vacíos conocidos. Como paso inicial hacia la
implementación de BMIS, la gerencia debe hacer un balance y observar el programa y
las soluciones existentes, como se muestra en la figura 20. Este ejercicio puede ser
menos rígida que una auditoría de seguridad formal, ya que BMIS en sus fases
posteriores volverá a examinar la fase de “Hacer un balance” a intervalos regulares.
información
Los siguientes párrafos ofrecen un breve resumen del análisis del programa de seguridad
existente. Hay muchas otras maneras de realizar este análisis, y cualquiera de ellas
puede usarse. Para maximizar la eficiencia, los gerentes de seguridad también deben
consultar los informes de auditoría interna, los informes de auditoría externa, los
informes de certificación y otras fuentes de información que puedan ser relevantes para
la seguridad. En las grandes empresas, puede ser aconsejable contar con la ayuda de
expertos externos para asegurar que haya un resultado claro y sin ambigüedades de la
fase de análisis.
Leyes y regulaciones
Como primer paso, el negocio debe analizarse en términos de ubicación geográfica,
relaciones con los clientes y proveedores, y la cadena de suministro en general:
 ¿Dónde se realiza el negocio? ¿Cuáles son los países relevantes?
 ¿Hay países de alto riesgo en términos de leyes y regulaciones relacionadas con
la seguridad?
 ¿Hay “valores atípicos‘’, por ejemplo, clientes o proveedores que se encuentran
fuera de los principales países en los que se hacen los negocios?
información
Una vez que se han identificado los países, regiones y otros impulsores comerciales
distintivos, las leyes y regulaciones aplicables se pueden asignar al programa de
seguridad y luego a BMIS. Como ejemplo, una empresa que realice negocios en los
Estados Unidos y Europa encontrará ambos conjuntos de leyes de privacidad de datos y
protección de datos aplicables: EE. UU. sigue un enfoque, mientras que la mayoría de
los países europeos favorecen una perspectiva de privacidad más estricta. El programa
de seguridad corporativa debe tener en cuenta ambos enfoques para proporcionar
seguridad en términos de la ley. Esto no lo hace solo la seguridad de la información: el
programa normalmente se basará en la estrategia y el diseño de la organización
existente que define y regula la privacidad a nivel de la empresa. Es cierto que puede
ser una tarea desalentadora identificar y comprender las leyes y regulaciones para
cualquier cantidad de países. Sin embargo, existen aspectos comunes en términos de
seguridad de la información que permitirán a la administración definir estándares
mínimos.
Las leyes y normativas aplicables generalmente se asignarán al elemento Organización
del modelo. Se gestionan y supervisan como parte de la estructura organizativa de
seguridad y cualquier cambio se desencadenará desde dentro de la estructura
organizativa. En este sentido, las leyes y regulaciones relevantes para la seguridad no
son diferentes de cualquier otro requisito obligatorio en otras partes del negocio. La
posterior interpretación de las leyes y reglamentos reside en el DI de Gobierno, como la
empresa asegura gradualmente que cualquiera y todas las normas internas están
alineados con los requerimientos externos.
Gobierno Corporativo
En algunas jurisdicciones, las leyes y regulaciones se complementan con reglas o códigos
de gobierno empresarial. Esto último puede tener un impacto en el programa de
seguridad si una empresa decide adherirse a ellos, o si se requiere el cumplimiento del
gobierno corporativo por otros motivos (listados, calificaciones, etc.). Desde la
perspectiva de BMIS, es la propia empresa la que acepta y adopta reglas externas no
vinculantes y las hace parte de la estrategia de la organización. El programa de seguridad
debe tener en cuenta las reglas y leyes y regulaciones no vinculantes como parte de la
adhesión al gobierno corporativo general, tal como se ha definido a nivel estratégico.
En términos de identificar los elementos de la gobernanza de TI y la gobernanza de la
seguridad, el enfoque más simple es utilizar el marco COBIT como un lenguaje común
para expresar los objetivos y requisitos de gobernanza. Como resultado, la gestión de la
seguridad debe abordar:
 Reglas de gobernanza o directrices adoptadas por la empresa.
 Partes relevantes para la seguridad y relevantes para TI de estas reglas o
directrices.
 Asignación de elementos de gobernanza relevantes para la seguridad al marco
COBIT.
información
De manera similar a las leyes y regulaciones, la gobernanza empresarial se asigna al

elemento Organización de BMIS, y se implementa en los niveles inferiores a través de la
DI gobernante.
Cumplimiento de seguridad
Además de los requisitos de seguridad específicos en la legislación y la regulación, las
empresas deben garantizar un nivel general de cumplimiento de seguridad. Este es un
resultado directo de otros requisitos comerciales, por ejemplo, requisitos contables y
financieros y de auditoría externa. Como ejemplo, la Ley Sarbanes-Oxley de Estados
Unidos de 2002 exige un sistema de control interno sobre los informes financieros.
La mayoría de las empresas dependen en gran medida de las TI para implementar y
llevar a cabo su proceso de elaboración de informes financieros. Se deduce que los
controles de TI y el cumplimiento son factores críticos en el cumplimiento general.
Existen muchos otros requisitos de cumplimiento que pueden variar entre las empresas
y los sectores industriales, por ejemplo:
 Auditoría financiera, contabilidad y control
 Gestión del riesgo, específicamente riesgo operacional
 Archivo y recuperación de datos
Los requisitos de cumplimiento normalmente se relacionan con dos elementos de BMIS:
Organización y Tecnología. En algunos casos, una asignación al elemento de personas
puede ser necesaria si la conducta personal es un tema de cumplimiento. El
reconocimiento de alto nivel de los requisitos de cumplimiento es parte de la DI
gobernante, en línea con las leyes, regulaciones y gobierno corporativo. Los niveles más
bajos de requisitos de cumplimiento, como en la gestión de datos, tienen más
probabilidades de pertenecer a la Arquitectura DI. El cumplimiento requerido a nivel
personal debe reflejarse en la cultura DI, como cuando se espera que las personas se
comprometan personalmente con un código de ética u otro documento que exija
responsabilidad personal y el cumplimiento de las normas.
Otros componentes del programa de seguridad

El ejercicio de inventario debe concluir identificando y enumerando cualquier otra parte
del programa de seguridad existente que no esté incluida en los títulos anteriores. En
muchas empresas existen vínculos entre la seguridad de la información y la seguridad
general (física) que deben considerarse para su inclusión. Del mismo modo, se debe
analizar el uso de servicios de seguridad externos, como los auditores de certificación o
la vigilancia electrónica, para garantizar un conocimiento completo y una visión
detallada del programa de seguridad existente. Algunos de estos componentes pueden
incluir:
 Políticas y estándares de seguridad corporativa
información
 Programas de gestión de la continuidad de las instalaciones y de las tecnologías

de la información y la comunicación (TIC)
 Programas de gestión de continuidad del negocio
 Políticas y procedimientos de salud y seguridad
 Requisitos de certificación, como la serie ISO 27000 o la nueva norma de auditor
de servicio (SSAE 16 / ISAE 3402)
 Conceptos 'puente' y programas relacionados, tales como programas de
monitoreo, servicios externos de seguridad y acuerdos de tercerización
Dependiendo del componente de seguridad que se integre, las asignaciones a BMIS
serán para todos los elementos y todas las DI. Cada componente o servicio debe
examinarse en detalle y luego asignarse provisionalmente a un elemento y / o un DI.
Poblando BMIS: Medidas de seguridad existentes y soluciones

Recopilación de información
Si bien el marco general de gobernanza y gestión de la seguridad es un paraguas que
abarca todos los aspectos de los elementos Tecnología, Proceso, Personas y
Organización, existen muchas soluciones técnicas o de otro tipo y pasos prácticos para
implementar, hacer cumplir y monitorear la seguridad en toda la empresa. Para que el
BMIS sea efectivo, es necesario incorporarlo e integrarlo correctamente, como se
muestra en la figura 21. El modelo en este contexto se puede ver como una
superestructura que se rellena paso a paso con lo que ya existe. Naturalmente, habrá
áreas más fuertes y más débiles, pero es importante identificar primero todas las
soluciones técnicas y de proceso.
información
Las soluciones y medidas de seguridad individuales generalmente se documentan como parte

del marco general que la empresa ha decidido usar, como ISO 27001. Para cada área que será
fácil de identificar cualquier número de soluciones técnicas o de gestión detalladas que abordan
los problemas de seguridad específicos. Como un ejemplo, el perímetro de la empresa podría
estar protegida por ambos cortafuegos (y zonas desmilitarizadas [DMZ]) y los sistemas de
detección de intrusión (IDS-host-base [HIDS] o basado en red [NIDS]). En términos de procesos
de seguridad detallados, el gerente de seguridad puede haber introducido un monitoreo
continuo o un muestreo forense de registros.
Al usar BMIS, los gerentes de seguridad deben trabajar gradualmente a través de los diversos
componentes del sistema de administración de la seguridad de la información y recopilar
información sobre las soluciones, herramientas y procesos operativos resultantes. Esta lista no
tiene que ser exhaustiva ya que la naturaleza dinámica de BMIS permite cambios y adiciones
posteriores.
Integrando soluciones individuales

Una vez que se han identificado la mayoría de las medidas y soluciones de seguridad,
integrarlas en BMIS es sencillo. Se combinan con todos los elementos y DI para
identificar los enlaces relevantes (que se muestran más adelante en la figura 25). Los
tres puntos a tratar son simplemente:
o ¿Cuál es la solución (la tecnología, la etapa de organización, proceso, las
personas basados)?
o ¿Qué hace la solución y qué riesgos de seguridad aborda?
o ¿Qué soporte tiene la solución?
Como ejemplo, un sistema de detección de intrusiones 'es' la tecnología (más
específicamente, una combinación de hardware y software). Debe gestionarse como tal
y, por lo tanto, reside claramente en el elemento Tecnología de BMIS, como se muestra
en la figura 22. La detección de intrusos es un proceso (ya sea basado en software o no)
y eso "alerta" a la administración de cualquier intento de intrusión o incumplimiento
desde fuera de la empresa. En este sentido, el sistema de detección de intrusiones como
solución técnica reside en la DI de habilitación y soporte, y en la arquitectura DI. La
detección de intrusos permite y respalda el proceso de defensa del perímetro, pero es
solo una parte de ese proceso. Además, proporciona un elemento importante que
respalda a la organización de seguridad (y a los gerentes encargados de monitorear
cualquier violación de seguridad), pero es solo una parte de la arquitectura general. Al
combinar todos estos pensamientos, la solución de detección de intrusos está
firmemente ubicada en el elemento de Tecnología y en las dos DI que conectan la
Tecnología con otros elementos de BMIS.
información
Para una solución de tecnología típica a un problema de seguridad específico, es menos

probable que los factores humanos DI (el comportamiento de las personas y su
interacción con la tecnología) jugará un papel ya que la detección de intrusos es
manejado principalmente por expertos en TI y en menor medida por los usuarios. Sin
embargo, en una empresa u organización pequeña, es posible trazar otra línea desde la
detección de intrusiones hasta la DI de factores humanos, como los casos en que los
usuarios instalan el software IDS y lo configuran ellos mismos. Incluso en un ejemplo
ilustrativo como la figura 22, el IDS resulta ser una fuente potencial de falla sistémica:
Donde los usuarios están presentes, el Emerger DI puede influir en el proceso de
detección de intrusos, lo que lleva a cambios en el proceso o en la forma en que se usa
el software. Esto, a su vez, podría haber sido causado por la cultura DI que ha influido
en las personas para cambiar su comportamiento y, posteriormente, causar un nuevo
comportamiento emergente.
Para otras soluciones de seguridad menos orientadas a la tecnología, la integración de
BMIS puede requerir más enlaces. Por ejemplo, un proceso innovador para la gestión de
cambios de emergencia puede tener importantes implicaciones de seguridad, pero no
es propiedad exclusiva de la administración de seguridad. En estos casos, BMIS una vez
más permite una integración muy simple al separar las partes relevantes para la
seguridad de la gestión de cambios de emergencia (ver figura 23).
información
Las soluciones existentes, una vez integradas, eventualmente formarán un patrón que
se reflejará en los elementos y DI, como se muestra en la figura 23. Cada elemento
cubrirá una cantidad de soluciones, al igual que cada DI. Como un efecto colateral
conveniente, al observar cada elemento/DI y cómo se rellena, casi de inmediato se
mostrarán las brechas que existen en el panorama de la solución de seguridad. Sin
embargo, el número de flechas en la figura 24 indica claramente que las brechas en un
elemento o DI pueden ser difíciles de cerrar directamente. Una sección posterior,
Identificando Fortalezas y Debilidades, describe un enfoque pragmático para identificar
y cerrar las brechas de seguridad que son visibles después de poblar el BMIS.
Después de rellenar el modelo, es útil configurar las asignaciones de las soluciones de
seguridad existentes en formato tabular, como se muestra en la figura 24. Las tablas son
una herramienta importante para asignar posteriormente la responsabilidad de las
tareas y acciones que resultan de la vista de BMIS.
Figura 24 - Elementos y soluciones de seguridad (ilustrativo)

Elemento Soluciones de seguridad vinculadas (* indica propiedad parcial)
 Política de seguridad corporativa *
Organización  La política de seguridad de la información
 Directrices y normas de seguridad de la información
 ISO 27001 ciclo de certificación
información
 La identidad y el marco de gestión de acceso (incluyendo

herramientas)
Tecnología  Marco de seguridad ERP
 La seguridad del perímetro (detección de intrusiones, DMZ)
 Nube / virtualización (software como servicio [SaaS], plataforma
como servicio [FCA], infraestructura como servicio [IaaS])
 Proceso de planificación de la seguridad (trimestral)
Proceso  Presupuestario de seguridad *
 Proceso de monitoreo de seguridad de información
 Proceso de aplicación de la seguridad
 Formación y sensibilización marco
Gente  Investigaciones *
 Evaluación de habilidades seguridad de la información
Durante el uso de BMIS en la práctica, ninguna de las soluciones iniciales y medidas de

seguridad serán estáticas. El pensamiento sistémico detrás de BMIS requiere revisar y
actualizar frecuentemente las soluciones y cómo interactúan con los elementos y las DI.
Esto debe considerarse como una ventaja: si el pensamiento de BMIS se aplica al
proceso anual de planificación, presupuestación y gestión de programas, las mejoras se
identificarán y formarán más fácilmente en los proyectos de seguridad de la
información. El vínculo con los objetivos corporativos generales, como se muestra en la
figura 25, como parte fundamental del propio BMIS, permite además a los altos
directivos definir de forma clara y concisa el retorno del riesgo en cualquier solución o
proceso de seguridad.
Figura 25 - Soluciones de seguridad asignadas a BMIS (ilustrativo)

Solución Lo que Que hace Lo que se apoya
es Arquitectura (parte del cifrado
y la confidencialidad
generales)
Habilitación y soporte (admite
Protege la
procesos de correo y
confidencialidad y la
Cifrado (electrónico) La tecnología (software) comunicaciones)
integridad de los
datos de flujo Cultura (desalienta el uso de
canales abiertos de correo
electrónico para información
confidencial)
Arquitectura (parte del cifrado y la

Protege la
Tecnología (hardware y confidencialidad y la confidencialidad generales)
Cifrado (almacenamiento)
software) integridad de los Activación y Apoyo (soporta el
datos estáticos almacenamiento / archivo /
infraestructura)
Organización (gobierno, riesgo,
Administración de cumplimiento)
Proceso Controla incidentes en TI
incidentes
Personas (contienen el impacto
personal de los incidentes)
información
En este sentido, BMIS aborda las necesidades y requisitos de negocios directamente, en

función de las disposiciones estratégicas y tácticas. Las decisiones comerciales
resultantes se "traducen" fácilmente en actividades más prácticas y en medidas de
seguridad diseñadas e implementadas por los gerentes de seguridad.
EJEMPLO
En muchas empresas, las brechas de seguridad interna y las 'amenazas internas' han sido un importante desafío
de seguridad durante años. De hecho, hasta tres cuartas partes de los ataques exitosos son de naturaleza interna
o se inician desde dentro de la empresa. El problema es complejo y es de naturaleza sistémica:
 Los ataques internos son comparativamente raros, no muy diferentes de los desastres naturales u otros
eventos de baja frecuencia.
 Un 'insider' por definición es un usuario legítimo con derechos de acceso excesivos o en posesión de
una nueva forma de ataque.
Como resultado, las amenazas de seguridad interna se ven a menudo tan impredecible y por lo tanto difícil de
manejar. Esto lleva a la alta gerencia a concluir que estos ataques no se pueden prevenir y no se toman más
medidas. Si, y dónde, ocurre un ataque interno, es probable que la administración sea reactiva, tratando de
contener el problema. Al mismo tiempo, el foco de las soluciones tecnológicas se convierte en ataques externos,
un elemento más tangible y manejable. En algunas organizaciones, esto puede ir acompañado de una cultura
de "confianza" que desaliente a hablar sobre la posibilidad de ataques internos.
La solución en organizaciones exitosas abarca muchos aspectos de la seguridad. BMIS es una herramienta ideal
para permitir la integración de una solución integral que aborda los ataques internos en todos los frentes. Como
se muestra en los párrafos siguientes, la solución es completamente sistémica y su éxito no se puede atribuir a
ninguna práctica de un solo paso, requiere mucho trabajo reducir la cantidad de ataques internos en cualquier
entorno.
El primer paso en la solución se encuentra en el elemento de Personas del modelo. Es aquí donde los individuos
actúan en contra de las reglas y en contra del interés de la empresa. Desde un punto de vista sistémico, su
motivación puede ser la ganancia o la codicia, el descontento general con el lugar de trabajo o la administración,
la falta de reconocimiento personal o cualquier combinación de estos motivadores. Se han sugerido los
siguientes pasos prácticos para abordar estos motivadores potenciales:
 Prácticas mejoradas de recursos humanos (HR): detección previa al empleo, supervisión de empleados,
programas de asistencia a los empleados
 Programas de capacitación y educación en cumplimiento y comportamiento responsable
 No hay excepciones para 'artistas estrella', introducción y mantenimiento de claras limitaciones a lo que
los empleados pueden hacer
 Aplicación de las mejores prácticas de seguridad de la información, incluida la gestión de identidad y
acceso
 Estrategia abierta de divulgación y acción legal: publicar y enjuiciar
Para integrar la solución global en el modelo, los pasos deben asignarse a los elementos y las DI en una base
"óptima".
información
EJEMPLO (cont.)
Las prácticas de recursos humanos tales como la selección de empleados residen en el elemento de
organización. Si bien los procesos de recursos humanos serían externos a BMIS, su uso en la contratación
relacionada con la seguridad es un hecho. Parte de lo que hay que hacer antes y durante el empleo de una
persona con derechos de acceso de gran alcance está en el DI de Gobierno, como procesos estarán sujetos a
restricciones provenientes de recursos humanos.
En un contexto comercial, BMIS puede ayudar a identificar patrones conspicuos en el empleo, como la afluencia
de individuos bastante jóvenes con bajos sueldos, o el posicionamiento de puestos de trabajo de seguridad
crítica en un departamento interno sin promoción, no demasiado apreciado. Esto ayudará a identificar
problemas potenciales de emergencia, como cuando los empleados tienen un sentido de descontento que
posteriormente se convierte en un plan para atacar a la empresa.
La parte de formación y la educación de resolver el problema ataque interno a menudo se coloca en el elemento
de Organización y el DI de Gobierno. Tanto la capacitación como otras formas de educación refuerzan lo que la
organización espera de los empleados, pero es poco probable que sea una disuasión para un atacante
determinado. Para la gran mayoría de los empleados, la formación y la educación refuerzan lo que ya saben, sin
embargo; estas medidas dan forma claramente la Cultura DI, así, en la prestación del ‘mensaje correcto’ del
elemento Organización al elemento de personas.
En la práctica, la aplicación de las normas existentes, sin excepciones, se sitúa en la cultura DI. El elemento
Organización debe comunicar el mensaje apropiado para garantizar que, dentro del elemento Personas, la regla
"sin excepciones" se entienda claramente. En términos sistémicos, la aplicación de la regla ‘sin excepciones’
refuerza aún más la DI de Gobierno y el elemento de proceso. También influye en el DI de Aparición, para
prevenir para prevenir el surgimiento de prácticas que pueden asociarse con individuos que se consideran fuera
del conjunto de reglas normales.
Las mejores prácticas de seguridad de la información deben subdividirse en sus componentes. La integración en
BMIS probablemente estará a nivel de elemento de la Organización (a través de políticas y estándares), dentro
del elemento Tecnología (aplicaciones que soportan IAM) y dentro del elemento Proceso (procesos que enlazan
a Recursos Humanos y administración general).
El último paso hacia la integración completa de BMIS abarca el proceso de divulgación y enjuiciamiento, que es
un componente importante de la reducción general de los ataques internos. En primera instancia, esta medida
de seguridad se ubica obviamente dentro del elemento de la Organización, ya que requiere decisiones de alta
dirección y reglas fuera del BMIS. Sin embargo, comunicar y hacer cumplir este curso de acción tendrá un
impacto inmediato tanto en la DI que gobierna como en la DI de la cultura.
En el ejemplo anterior, la solución existente, tal como se muestra en la lista con viñetas,
se integra a BMIS, y cualquier brecha se volverá visible una vez que se analice el
problema de los ataques internos de manera sistémica.
Integrando soluciones administradas

En el entorno corporativo actual, muchas soluciones de seguridad tienden a ser externas
y administradas en lugar de internas. Esto crea muchos desafíos y los gerentes de
seguridad necesitan confiar en proveedores de servicios de terceros en gran medida. Si
bien la mayoría de los modelos de seguridad no anticipan la tercerización o la
información
administración de terceros de productos y servicios relevantes para la seguridad, la

integración en BMIS es bastante simple. Desde un punto de vista práctico, el producto
o servicio rara vez cambia solo porque ha sido entregado a un tercero. La prueba de
vulnerabilidad, por ejemplo, es técnicamente la misma si la realiza una firma experta, al
igual que el registro y análisis de seguridad. La diferencia a menudo se encuentra en la
relación contractual, la responsabilidad y la responsabilidad de las soluciones críticas de
seguridad. Por lo tanto, las soluciones administradas se pueden subdividir
convenientemente en:
 Proceso: Las partes de la seguridad de la información son PaaS.
 Tecnología: La tecnología, el hardware, el software o los servicios técnicos
relacionados con la seguridad se adquieren a través de un proveedor externo
(generalmente de pago por uso), como SaaS / PaaS / IaaS.
 Personas: se contratan recursos externos para realizar un trabajo relacionado
con la seguridad.
Desde la perspectiva de BMIS, todas las relaciones con terceros y todos los productos o
servicios administrados deben basarse en los resultados. Para eso se paga al proveedor
y el resultado debería ser exactamente el esperado si el servicio se brindó internamente.
Por lo tanto, se puede integrar en el modelo como cualquier producto o servicio interno,
como se muestra en la figura 26. La principal diferencia es que la entrega y la calidad se
rigen por un contrato que establece la relación entre dos o más partes. En BMIS, el
contrato se coloca en la DI gobernante, donde se colocarían otros instrumentos de
gobierno (internos). Además de tener un contrato, la mayoría de las empresas aplican
métricas y medidas para controlar mejor el cumplimiento del contrato. Una vez más, los
controles y procesos de medición forman parte del DI Gobernante, ya que muestran
claramente cómo la Organización (como un elemento) controla el Proceso (como un
elemento), incluso si estos se compran desde una fuente externa.
información
En términos de seguridad de la información, las soluciones administradas son muy

similares a las soluciones internas. En BMIS están integrados como cualquier otra
solución, pero existe una dimensión adicional (contrato y controles relacionados).
Alineación de estándares y marcos para BMIS

Muchas empresas están utilizando una serie de estándares
y marcos reconocidos en seguridad de la información. A BMIS ha sido diseñado para
menudo se ven como un subconjunto de la gama más tener la flexibilidad
amplia de estándares generales de TI para la gobernanza, incorporada para adaptarse a
el riesgo, el cumplimiento o las operaciones de TI. La la mayoría de los estándares
adhesión a un estándar generalmente significa que se han
actualmente en uso en la
realizado esfuerzos considerables para seguir la estructura
y los requisitos, particularmente en tecnología. BMIS ha seguridad de la información.
sido diseñado para tener la flexibilidad incorporada para adaptarse a la mayoría de los
estándares actualmente en uso en la seguridad de la información. Esto incluye, como
primera capa, aquellos estándares que abordan específicamente la seguridad de la
información en el sentido más amplio. La segunda capa de alineación cubre los
estándares generales de TI que tienen un impacto directo o indirecto en la seguridad.
Como tercera capa de alineación, es posible que se tengan que considerar estándares
específicos, dependiendo del sector de la industria y los posibles requisitos
reglamentarios. La siguiente sección describe un enfoque práctico para alinear BMIS con
cualquier estándar existente que una empresa ya haya adoptado.
Gestión de seguridad de la información

En el núcleo de la estandarización dentro de una empresa, los estándares de seguridad
de la información utilizados deben estar alineados con BMIS. Políticas y normas se
posicionan en el DI del modelo de Gobierno ya que influyen tanto los elementos de
organización y de proceso. El modelo en sí mismo a menudo necesita mayor alineación
en términos del contenido de los estándares, como en seguridad física o administración
de acceso. La Figura 27 muestra cómo los estándares se alinean con el modelo general
como primer paso, y la figura 28 ilustra la alineación de BMIS con los capítulos
individuales y el contenido de los estándares.
información
Dependiendo de qué normas de seguridad de la información se utilizan a nivel

empresarial, la alineación puede tener que repetirse a intervalos regulares, como
cuando la organización emisora actualiza o extiende un estándar. Este puede ser el caso
donde una serie de estándares se alimenta en una o dos normas de alto nivel, como ISO
27000.
información
Para cada estándar, los gerentes de seguridad deben asignar los capítulos o cláusulas
individuales a los elementos y DI dentro de BMIS. En la práctica, esto dará lugar a una
serie de relaciones entre el modelo y el contenido detallado del estándar de seguridad
de la información, que también ayudará a identificar las responsabilidades y los roles
dentro de la organización de seguridad de la información. Por ejemplo, la (s) persona (s)
responsable (s) de la evaluación del riesgo desde la perspectiva de los estándares se
asignarían a partes del elemento de la Organización y la DI gobernante.
Gestión general de TI
Además de los estándares específicos de seguridad de la información, muchas empresas
han adoptado e implementado orientaciones de gestión
Los gerentes de seguridad
de TI más genéricas, como Biblioteca de Infraestructura
de Tecnología de la Información (ITIL). Si bien estos deben considerar el marco
estándares son mucho más amplios que la mera COBIT, que facilitará la
seguridad, a menudo contienen componentes alineación entre la
importantes que deben considerarse al trabajar en la administración general de TI
seguridad de la información. Por lo tanto, BMIS debe y BMIS, como una
alinearse con estos estándares y marcos más genéricos
herramienta conveniente.
de forma similar a los estándares específicos (ver la
sección anterior).
Los gerentes de seguridad deben considerar el marco COBIT, que facilitará la alineación
entre la administración general de TI y BMIS, como una herramienta conveniente. La
Figura 29 ilustra cómo se han mapeado la mayoría de los estándares reconocidos a
COBIT, que puede actuar como una bisagra entre los estándares y el modelo.
información
Diagnóstico BMIS: Identificación de fortalezas y debilidades

Una vez que las soluciones de seguridad de la información se han integrado con el
modelo y se ha completado la alineación con los estándares existentes, el siguiente paso
en el uso de BMIS es un análisis exhaustivo de fortalezas y debilidades. En la mayoría de
las empresas, algunos aspectos de la seguridad de la información están bien
desarrollados, mientras que otros pueden ser menos maduros. Mientras que esto tiende
a ser conocido por los expertos en seguridad, el uso de BMIS permite la gestión para
identificar las causas y efectos. Un ejemplo es una debilidad que se encuentra en una
solución técnica que no debe verse de manera aislada ya que la causa raíz puede ser un
defecto arquitectónico o incluso un problema de política. Del mismo modo, un punto
fuerte en la tecnología puede ser el resultado de una acción organizacional o simple
emergencia. Para evitar trabajar en los síntomas, BMIS puede ayudar a estructurar el
análisis de fortalezas y debilidades.
Análisis Situacional
El primer paso para identificar fortalezas y debilidades es un análisis exhaustivo de la
situación basado en el BMIS completo y estandarizado. Dado el enfoque sistémico que
está en el corazón del modelo, cualquier elemento o DI es un buen punto de partida.
Para cada elemento, el modelo debe contener la información mínima agregada
anteriormente:
información
 Políticas, métodos y controles existentes.

 Soluciones, herramientas y procedimientos detallados existentes.
 Partes relevantes de las normas de seguridad de la información.
 Partes relevantes de los estándares generales de TI.
La forma más sencilla de representar esta información es mediante un formato tabular,
como se muestra en la figura 30. Aunque dichas listas pueden ser bastante largas a
primera vista, son fáciles de administrar y actualizar en ciclos posteriores de actividad
de BMIS.
Figura 30 - Listado de Fortalezas y Debilidades para el Elemento de Personas (Ilustrativo)

Ítem Tipo Fortaleza / debilidad
ISO 27001: Política de InfoSec Política Debilidad: Existe, pero está desactualizado.
ISO 27001: Verificaciones de Procesal Debilidad: Es inexistente.

antecedentes de los empleados
ISO 27001: Entrenamiento de seguridad Procesal Fortaleza: Está bien desarrollado y se mantiene con
del empleado frecuencia.
ISO 27001: Terminación del empleado Procesal Fortaleza: Se cumplen todos los criterios y no hay
lagunas en el proceso de salida.
Para cada elemento y DI, este ejercicio proporcionará una imagen de lo que se ha hecho
en materia de seguridad y el nivel de madurez general. Si bien las políticas, estándares
y controles generales suelen ser fáciles de identificar y enumerar, es probable que los
requisitos de las normas de seguridad de la información y los estándares generales de
TI sean más completos, pero convenientemente enumerados en la tabla de contenido y
estructura de las normas. La Figura 31 muestra el resultado final de este primer paso en
el análisis situacional. Una vez que estas tablas se hayan consolidado, las repeticiones
posteriores del análisis situacional podrían ampliar la información, quizás en forma de
cuadros de mando equilibrados. Sin embargo, el principio básico sigue siendo el mismo.
información
El segundo paso para analizar la situación es voltear las tablas en términos de cada
elemento. Un ejemplo es el requisito ISO 27001 de tener una política de seguridad, que
es probable que aparezca en varias tablas:
 Elemento de organización
 Elemento de personas
 Cultura DI
En muchos casos, el mismo artículo, en este caso, la política, recibirá una calificación
diferente, según el punto de vista. Por ejemplo, una política de seguridad de la
información puede verse como una fortaleza en el elemento de la Organización, pero
como una debilidad en términos de la Cultura DI. Del mismo modo, los folletos de
seguridad de los empleados pueden ser un punto fuerte en el elemento Personas, pero
una debilidad en el elemento Organización. Estas diferencias serán aún más visibles en
soluciones técnicas o procedimientos detallados. Al trabajar en las tablas, el resultado
puede parecerse a la figura 32.
Figura 32 - Asignación de elementos individuales (ilustrativa)

Sistema de detección de intrusos
Elemento tecnología Arquitectura Activación y Apoyo Factores humanos
Fortaleza: Es una Neutro - Se apoya en la Debilidad: Hay muchos Neutro: Los empleados
solución técnica infraestructura.
integral. falsos positivos; es lento; no tienen exposición a
algo real. la herramienta.
información
El elemento que se muestra en la figura 32 es difícil, ya que obviamente es fuerte como

una solución tecnológica, o como lo ve la gente de tecnología, pero es menos popular
cuando se lo visualiza a partir de los procesos que se supone que debe admitir. En la
práctica, este es un fenómeno que los gerentes de seguridad experimentan muy a
menudo: Un problema de seguridad de la información se aborda desde el punto de vista
tecnológico, pero la realidad dentro de los procesos comerciales es diferente. Al revisar
las tablas de BMIS de esta manera, un experto en seguridad sabrá de inmediato qué hay
de malo en la detección de intrusos.
Una vez que se haya completado el análisis situacional, BMIS destacará estos "síntomas"
de debilidades relativas o fortalezas y discrepancias en la percepción y la evaluación. Del
mismo modo, cualquier elemento que se evalúe por unanimidad como una fortaleza
será claramente visible al comparar la información tabular. La vista sistémica garantiza
que cada solución o procedimiento de seguridad se vea desde todas las perspectivas.
Análisis de causa raíz

Una vez que se ha completado el análisis situacional, se deben conocer todas las
fortalezas y debilidades para el conjunto completo de elementos y DI. Para mantener
las fortalezas como son y para abordar las debilidades, se deben identificar las causas
principales. Como se indicó anteriormente, en la práctica, las razones reales de una
debilidad de seguridad que se observa en el día a día del negocio pueden estar ocultas
o ubicadas en otra parte de la organización. El enfoque sistémico en BMIS es de nuevo
útil al proporcionar una guía paso a paso para descubrir más acerca de las causas de raíz.
Para cualquier debilidad de seguridad (o fortaleza), los siguientes pasos revelarán la
imagen completa:
• ¿Es esto una debilidad trivial (por ejemplo, la herramienta es disfuncional o
necesita corrección de errores)?
• ¿La causa raíz está dentro de los elementos donde se encuentra la debilidad?
• ¿La causa raíz dentro de las DI apunta hacia otros elementos?
• ¿La causa raíz está en otros elementos y está indirectamente relacionada con la
debilidad?
Un gerente de seguridad con experiencia realizará todos estos pasos casi de manera
intuitiva. De esta forma, muchos problemas de seguridad se resuelven muy
rápidamente. Sin embargo, es más conveniente poder enumerar problemas y soluciones
dentro de BMIS para garantizar la integridad y mostrar claramente el proceso de llegar
a una causa raíz después de una serie de pasos lógicos. La mayoría de las veces, los
profesionales de seguridad con experiencia lo hacen bien, pero les resulta difícil explicar
cómo. En este sentido, BMIS proporciona ayuda práctica para documentar los pasos y
las conclusiones intuitivas.
La Figura 33 ilustra una debilidad trivial. El IDS parece ser menos eficaz dado que causa
alertas falsas positivas y, lo que es más grave, no evita las intrusiones reales. La primera
idea es verificar dentro del elemento Tecnología para determinar si el producto utilizado
información
está causando dificultades, posiblemente a través de errores de configuración o

instalación defectuosa. En este caso particular, las dos causas fundamentales son
bastante probable ya que los productos de IDS estandarizados han existido desde hace
algún tiempo y parece estar funcionando bastante bien en otras situaciones prácticas.
La reparación de la configuración como paso siguiente solucionará la debilidad (que
debe ser visible al instante) o indicará una causa raíz más compleja.
La Figura 34 muestra cómo una debilidad es visible por primera vez en el elemento
Personas. En este caso, el primer síntoma es que las personas usan contraseñas débiles
y se ha compartido la contraseña. Ambos síntomas definitivamente no son apropiados
en términos de seguridad de la información, pero la causa principal no es una cuestión
de preferencias individuales o empleados involuntarios. Como segundo paso, la cultura
DI se puede dejar fuera de la imagen ya que normalmente existen estructuras
organizativas y políticas de contraseñas. La configuración de la contraseña práctica es,
sin embargo, una cuestión de contraseñas tecnología de cómo se crean, solicitó,
almacenados, etc. Parece que los usuarios, por alguna razón, tienen dificultades con la
forma en que las contraseñas son manejadas por el elemento de la tecnología.
información
Para debilidades más complejas, el enfoque sistémico de BMIS se parecerá a la figura

35. En este caso, existe un problema bien conocido que a menudo se observa en la
práctica: Si bien existen controles técnicos rigurosos para el acceso de los usuarios, en
muchos casos, hay usuarios "fantasmas" que han finalizado hace mucho tiempo. En este
ejemplo, el proceso de TI parece estar bien, ya que todo lo que se recibe en los sistemas
de gestión de ID se procesa debidamente. El problema es que los datos sobre los
usuarios son simplemente incorrectos. Esto podría deberse a varias razones, pero es
claramente de naturaleza administrativa y organizacional. El siguiente paso lógico en
una vista sistémica es, por lo tanto, la arquitectura DI, que destaca una desconexión
entre la tecnología y el aspecto organizativo de la gestión de ID. Esto, a su vez, lleva a la
pregunta de cómo se gobiernan ambos procesos (TI y RH) y el impacto posterior en los
problemas observados. Si bien la conclusión puede ser sencilla para el profesional de
seguridad con experiencia, al pasar por el BMIS se identifican claramente las deficiencias
y permite a la administración abordarlas de manera coherente.
información
Esta secuencia lógica debería ajustarse finalmente a las tablas anteriores (figuras 30 y
32) que analizan cada solución de seguridad de la información y su control desde el
punto de vista de los elementos y las DI. La parte del análisis de la causa raíz del trabajo
a través de BMIS debe ser una imagen especular de las observaciones situacionales
iniciales. Por ejemplo, cuando la detección de intrusión se reconoce como una
"debilidad trivial" en el ejemplo anterior, esto debería encajar con la vista inicial sobre
la detección de intrusos en la figura 32. En realidad:
 Los tecnólogos ven la detección de intrusión como una "solución integral", que es
desde una perspectiva de herramienta estándar.
 La arquitectura es neutral porque, en teoría, la herramienta debería funcionar
bien.
 El DI de Habilitación y Soporte muestra problemas percibidos por los propietarios
del proceso en los IDS operativos que son los únicos indicadores (desde un punto
de vista situacional) de que algo anda mal.
 La DI de los factores humanos es neutral porque los usuarios no tienen forma de
saber qué es lo que los protege (o no).
información
Este ejemplo muestra claramente que las cosas observadas en el análisis situacional
muestran solo una parte de la imagen. El análisis de causa raíz revela por qué está
presente la deficiencia en la DI de Habilitación y Soporte y los motivos subyacentes. De
manera similar, el ejemplo de las deficiencias de gestión de ID se puede trabajar a partir
de las observaciones iniciales (situacionales) a los pasos lógicos que conducen a una
conclusión sensata.
Configuración BMIS en Movimiento: Mejora del trayecto

Si las observaciones situacionales indican una cosa y el análisis de la causa raíz conduce
a una perspectiva completamente diferente de las fortalezas y debilidades, el resultado
podría ser un entorno de seguridad de la información corporativa en el cual es difícil
remediar debilidades o fomentar fortalezas que sean evidentes. Una de las preguntas
más interesantes es cómo cambiará el estado general de la seguridad de la información
si se toman medidas o si se realizan inversiones de seguridad específicas. El éxito o el
fracaso de cualquier actividad relacionada con la seguridad será visible inmediatamente,
pero puede ser mucho más difícil explicar por qué ciertas cosas funcionan y otras no. El
simple ejemplo del uso compartido de contraseñas como una debilidad de seguridad
demuestra esto: ¿Las personas comparten porque las contraseñas son demasiado
complejas? ¿O simplemente están empantanados por la burocracia en su negocio
diario? Las respuestas a estas preguntas son importantes para la gestión de la seguridad,
ya que determinarán el curso de acción para la corrección y la mejora.
En cualquier sistema complejo, cambiar una cosa inevitablemente conducirá a más
cambios en otras partes del sistema. Para que este cambio sea predecible y controlable,
los procesos y controles de seguridad tradicionales deben traducirse en subsistemas del
sistema general de gestión de la seguridad de la información. Este primer paso en el
camino hacia la mejora muestra claramente cómo los procesos (subsistemas)
evolucionan a lo largo del tiempo y cómo reaccionarán ante los cambios introducidos
por los gerentes de seguridad y los profesionales. Desglosar el sistema general en
componentes manejables se relaciona con BMIS, ya que los subsistemas más pequeños
están todos dentro de los elementos y las DI.
Los subsistemas de seguridad muestran de inmediato cómo pueden ser influenciados
por la actividad interna o externa, y cuáles serán las consecuencias si la influencia se
ejerce de una forma u otra. Para el gerente de seguridad, el enfoque de BMIS resalta lo
que una inversión podría lograr y cuáles podrían ser los resultados deseados (ya veces
inadvertidos). El modelo usa pensamiento circular en lugar de pensamiento lineal, como
se ilustra en la figura 36.
información
Sobre la base de los subsistemas de seguridad circulares, medidas y acciones de mejora

pueden ser dirigidas en el que serán más eficaces. Las acciones individuales y las
medidas de seguridad se integran en el contexto del sistema general y cómo se
comporta.
Como paso final para comenzar el camino de mejora de BMIS, el modelo permite una
visión clara de cómo las dinámicas del sistema conducen a actividades,
comportamientos y patrones que se integran con el tiempo, particularmente en
términos del nivel de seguridad general de la empresa. Uno de los principales objetivos
del uso de BMIS es hacer el mejor uso de estos efectos y comprenderlos completamente
en la seguridad de la información diaria.
Conversando procesos de seguridad en subsistemas de seguridad

Los procesos de seguridad a menudo se ven como lineales: Hay actividad, una respuesta
técnica y organizacional, y observaciones posteriores de cómo están cambiando las
cosas. Por ejemplo, el monitoreo de ataques internos y externos generalmente se ve
como un proceso de seguridad continuo que involucra recursos de la organización,
tecnología y documentación de cualquier problema que surja. Esto se ve como lineal
porque hay los ataques iniciales (o intentos), una reacción inmediata y aspectos de
registro y procesamiento. Si bien esto responde a la pregunta de qué está sucediendo -
las brechas de seguridad- no explica por qué está sucediendo. Para identificar las
relaciones de causa y efecto subyacentes, cada proceso de seguridad debe verse de
forma circular (sistémica). La Figura 37 ilustra esto para el ejemplo de ataques internos
y lo que está detrás de ellos.
información
La representación circular crea eficazmente subsistemas de seguridad que se analizan y

comprenden más fácilmente. Como un paso en este ejemplo lleva a otro, la cantidad de
ataques totales está influenciada por varios criterios externos: número de atacantes y la
disponibilidad de explotaciones o vectores de ataque convenientes. Sin embargo, la
empresa responderá sistémicamente: los ataques detectados apuntan a ciertas
vulnerabilidades que se identifican. Un mayor número de vulnerabilidades obviamente
conduce a un mayor atractivo de un ataque, al igual que la falta de monitoreo o
contramedidas. Una vez que se sabe que la empresa es vulnerable desde adentro, esto
puede cambiar el atractivo general como un objetivo, y la probabilidad general de un
ataque aumentará.
Si esto continúa, la empresa quedará atrapada en un ciclo sistémico de ataques
crecientes. En un modelo lineal, muchas soluciones podrían venir a la mente que
detendrían esto. Sin embargo, tratarían los síntomas más que la causa raíz, que es el
atractivo percibido. Para salir del ciclo sistémico, la gestión de la seguridad deberá
disminuir claramente el atractivo por cualquier medio. Esto se puede lograr invirtiendo
en medidas de seguridad que aborden uno o más de los pasos en el ciclo o en los factores
de influencia externos.
Del mismo modo, los subsistemas circulares deben formarse a partir de los otros
procesos y soluciones de seguridad identificados en toda la empresa. En la práctica, la
mayoría de estos círculos, con sus dependencias, ya son conocidos por los profesionales
de la seguridad. Sin embargo, rara vez se formalizan o documentan. BMIS es una
herramienta útil para identificar y categorizar esta información en función de los
procesos de seguridad existentes.
información
Acciones y pasos de mejora

En cualquiera de los subsistemas de seguridad identificados y descritos, hay algunos
puntos en los que los administradores de seguridad pueden influir en el ciclo circular.
Algunas cosas siempre se dan y no se pueden cambiar en la práctica, como la cantidad
de explotaciones que se sabe que existen o la cantidad de empleados que podrían tener
las habilidades para realizar un ataque interno. Del mismo modo, es muy difícil influir en
el número de intentos externos para atacar a la empresa (pero es posible influir en su
tasa de éxito). Otros elementos del ciclo sistémico son más accesibles y pueden
mejorarse mediante inversiones específicas y fortaleciendo la seguridad. La visión
sistémica de BMIS destaca claramente el apalancamiento en cada subsistema y las
opciones disponibles en términos de inversión o introducción de medidas técnicas de
seguridad.
La Figura 37 muestra cómo se aborda el problema de los ataques internos paso a paso
utilizando los factores de influencia disponibles de forma gradual. Para cada acción, hay
un enlace a la estructura original de BMIS. Esto informa y habilita el mapeo de las
acciones llevadas al análisis tabular de la situación actual y las posibles causas raíz, como
se describió anteriormente.
La Figura 38 muestra lo que una inversión en actualizar las políticas de seguridad podría
lograr. En términos del modelo, la inversión pertenece al elemento de la Organización,
ya que agrega estructura y gobierno al sistema de seguridad de la información en
general. En la práctica, invertir en mejores políticas reduciría el número de atacantes
internos, mientras que reducir el número de explotaciones disponibles (el otro factor de
influencia) es bastante difícil.
información
Es poco probable que una inversión singular en políticas de actualización sea suficiente
para detener los ataques internos. Por lo tanto, el segundo paso es crear conciencia
mediante la inversión en programas relacionados, como se muestra en la figura 39. Esto
no cambia las estructuras humanas u organizacionales, por lo que se coloca en la Cultura
DI del modelo. Después de los primeros dos pasos para mejorar la seguridad de la
información, tanto el elemento de la organización como la Cultura DI han resultado ser
objetivos útiles para las inversiones en seguridad.
Dentro del ciclo circular que determina el número de ataques internos, hay más puntos
que permiten la interacción con el sistema en general, como se muestra en la figura 40.
La tasa de detección de ataques es una defensa importante contra ataques oportunistas
o de baja intensidad, y muchos perpetradores pensarán dos veces antes de atacar, si la
probabilidad de ser atrapado es alta. Una inversión en detección de intrusos, como parte
de la arquitectura de seguridad general, ayudará a reducir la cantidad total de intentos
o ataques exitosos. A diferencia de las inversiones en políticas y sensibilización, esta
acción está diseñada para influir directamente en el ciclo sistémico. Asimismo, la
inversión en la exploración del sistema y de nivel de aplicación para los ataques se centra
la atención en lo que está sucediendo dentro del bucle y reduce el número de
vulnerabilidades existentes. En combinación, estas dos medidas de seguridad
arquitectónicas aumentan el nivel de protección dentro del sistema.
información
Para completar la secuencia de acciones que se basan en el modelo o subsistema circular

para ataques internos, hay puntos de influencia adicionales disponibles. La respuesta al
incidente asegura que los ataques detectados se tratan de la manera adecuada, lo que
aumenta el riesgo de los atacantes. Del mismo modo, la clasificación y la seguridad de
los datos disminuyen el atractivo general del objetivo. Debido a que estos pasos
requieren modificaciones en el proceso, que se encuentran dentro del elemento de
proceso del modelo (Figura 41).
información
Aprovechando la dinámica del sistema

Cualquier sistema, ya sea simple o complejo, reaccionará a los cambios internos y
externos. El sistema retroalimenta o retrocede, dependiendo de las dependencias
circulares, como se muestra en el ejemplo anterior. Este comportamiento puede
utilizarse para mejorar la seguridad general y aprovechar la naturaleza autorreforzadora
de muchos sistemas. En lugar de utilizar un enfoque simple de "más de lo mismo", como
suele ser el caso en la seguridad de la información práctica, el enfoque de sistemas
mostrará muy temprano en el proceso si las nuevas medidas de seguridad son realmente
mejoras. Como primer paso, las amplias sugerencias para mejorar la situación en
términos de ataques internos pueden regresar a un formato tabular para gestionarlas
en el día a día de los negocios, como se muestra en la figura 42.
La Figura 42 ofrece una descripción general de lo que se debe hacer a un nivel alto para
reducir el número de ataques internos. Las diversas inversiones ahora se dividen en
componentes manejables al vincularlas a marcos de gobernanza, riesgo y cumplimiento
conocidos. Como ejemplo, están mapeados a COBIT en la figura 43.
Figura 43 - Medidas de seguridad de alto nivel y COBIT

Inversión en Seguridad / Mejora Enlaces COBIT
Política de inversión PO1, PO4, PO6, VO8, PO9, DS5, DS7, ME4
Inversión conciencia PO6, PO7, DS7, ME4
Inversión de detección de intrusos PO2, PO3, AI3, AI4, AI7, DS5, DS9, DS13
Inversión de respuesta a incidentes PO7, PO9, DS8, DS10, ME2
Clasificación de los datos de inversión PO2, PO9, DS3, DS5, DS11
Dependiendo de la situación y los objetivos generales de TI de la empresa, los

componentes de COBIT se pueden aplicar de diferentes maneras, pero todos los
elementos deben considerarse al subdividir de la inversión en pasos y soluciones
manejables. El mapeo de las ideas y conceptos generales en seguridad de la información
en el marco COBIT garantiza además que el entorno existente de riesgo, cumplimiento
y gobernanza de TI sea reconocido e integrado en el programa de seguridad.
información
Conclusión
A medida que los profesionales de seguridad continúan enfrentando desafíos
cambiantes, es necesario examinar nuevas soluciones a los problemas de seguridad de
la información. Comprender el concepto de BMIS y sistemas en relación con los
programas de seguridad de la información puede ser beneficioso para cualquiera que
necesite administrar el riesgo de seguridad de la información. ISACA desarrollará
informes de investigación adicionales que exploran las DI y su impacto en el rendimiento
del programa de seguridad de la información. Además, se ofrecerá una guía práctica que
se centrará en el uso del modelo en diferentes escenarios. BMIS también servirá como
base para el próximo marco de seguridad de COBIT.
información

BMIS

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

BMIS

Transféré par

Droits d'auteur :

Formats disponibles

“AÑO DEL DIÁLOGO Y LA RECONCILIACIÓN NACIONAL”

UNIVERSIDAD NACIONAL DEL SANTA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

ASIGNATURA : Auditoria de Sistemas

TEMA : El modelo de negocio para la seguridad de la

DOCENTE : Ing. Camilo Suárez Rebaza

EL MODELO DE NEGOCIO PARA LA SEGURIDAD DE

La conciencia de la necesidad de seguridad de la información ha crecido notablemente,

BMIS crea oportunidades para Debido a que la calidad que la tecnología

Los estándares más comúnmente utilizados en el campo de la seguridad de la

Combinación de Modelos, Frameworks y Estándares

planificación. Los profesionales de la seguridad vuelven a aplicar controles a los

Los resultados de seguridad de la información

2. MODELO DE NEGOCIO PARA LA SEGURIDAD DE LA INFORMACIÓN

El modelo aborda los tres elementos tradicionales considerados en TI (Personas,

A través de la estrategia de la organización que es un requisito previo para el elemento

Las estructuras de la organización difieren dependiendo de muchas circunstancias,

matriciales modernas, en comparación con las estructuras jerárquicas de línea o línea y

El programa de seguridad existe no solo para proteger

información más que en el pensamiento de protección

La organización informal abarca desde una gran subcultura de acciones de empleados

Puede que no se tenga en cuenta el uso de tecnologías de seguridad como el cifrado o

Impacto organizacional de Seguridad

Es imperativo que el gerente de seguridad

El elemento de Organización se conecta con los elementos de las Personas a través de

El elemento de la organización abarca muchas actividades comerciales, incluido el

sus conexiones. Se centra en impulsar el negocio y dirigir la organización hacia el

El marco de TI de riesgos de ISACA ofrece una descripción clara y detallada de un proceso

Atributos de los Procesos

Enfoque sistémico de los procesos

seguridad de la información, y el elemento de proceso de BMIS generalmente consistirá

Las "personas" no son solo unidades de una y no pueden estudiarse de manera

corporativos o en otras personas. Un estudio de otros elementos y DI, como Tecnología,

Interconexiones dinámicas BMIS

APARICIÓN HABILITACIÓN Y SOPORTE

organizacional y los objetivos resultantes. Cada acción tomada en términos de gobierno

La comunicación es vital dentro de la DI gobernante. El gobierno debe filtrar en la

Las personas son la clave de la cultura, y la cultura, a su vez, crea un conjunto de

APARICIÓN FACTOR HUMANO

Para mejorar el programa de seguridad de la información, los gerentes deben examinar

mejorar una cultura organizacional general es un esfuerzo que, por definición, es

Creando la Cultura de Seguridad

 Trabajar para establecer un sólido programa de seguridad de la información que

Arquitectura comienza como un concepto, un conjunto de objetivos de diseño que se

ISO / IEC 42010: 2007 define la arquitectura como:

Una serie de enfoques específicos para la seguridad y la arquitectura de la empresa

El nivel más alto (contextual) define la relación de una estructura a su entorno. En

El nivel lógico especifica el diseño más detallado de los componentes de seguridad, el

• Eficacia y eficiencia-efectividad y eficiencia en seguridad de la información

Dado que la tecnología debe seguir siendo útil y

• Capacidad (estática y dinámica)-La capacidad en explotación de las soluciones de

El elemento de tecnología debe proporcionar información e influir en el elemento de

La arquitectura debe transmitir proactivamente cualquier información sobre los

A medida que la habilitación y de apoyo DI es el área que demuestra un proceso

de las auditorías y de cumplimiento opiniones y hacer un balance de sus procesos en

TI dentro de una empresa

• Antes de implementar el cifrado de correo electrónico, ¿los procesos están bien

Desde un punto de vista organizativo, otras preguntas se les pueden pedir:

Los componentes clave de la infraestructura DI habilitación y de apoyo son:

Los procesos arquitectónicos de la empresa garantizan una integración vertical y

Los equipos multifuncionales pueden proporcionar información valiosa para el proceso

Los factores humanos son un ingrediente esencial de los sistemas de Habilitación y

de uso o en un contexto cultural que influye en su comportamiento. En BMIS, Emerger