Académique Documents
Professionnel Documents
Culture Documents
Seguridad de la Informacin, Redes y Telecomunicaciones Tel: +54-11-4371-4638 Cel: (+54911) 6513-2751 E-mail: ciprio@ingcomyasoc.com.ar
propietaria y beneficiaria de la seguridad de la informacin, en un marco de responsabilidades compartidas. Lo comentado en los ltimos prrafos implica entonces que para el marco de la seguridad de la informacin se requiere considerar no slo los riesgos tcnicos de ICT, sino tambin los riesgos de seguridad que se extienden a toda la empresa, es decir: organizacionales, operacionales y fsicos. Adems, los riesgos operacionales -de singular trascendencia por ejemplo en el contexto del Nuevo Acuerdo de Capitales Basilea II para los bancos- son cada vez ms cruciales en los escenarios de seguridad de la informacin. Y las vulnerabilidades de este tipo de riesgos, a diferencia de las vulnerabilidades ICT que responden ms bien a un esquema blanco-negro, se extienden a lo largo de una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivas de las personas, la cultura empresarial, la forma de comunicacin, la resistencia al cambio, etc. La determinacin de las vulnerabilidades organizacionales sigue un proceso muy diferente a las mediciones o lecturas tomadas sobre computadores, servidores, routers, switches, etc. Como generalmente no se disponen de datos histricos suficientes, un anlisis exacto se hace imposible. Por eso el anlisis se complementa con informacin que se puede recabar en tal sentido y que se corresponde con informacin subjetiva surgida de opiniones (generalmente de expertos o al menos de personal con conocimiento especficos del rea que se analiza). Estas opiniones pueden identificarse y analizarse a partir de algn mtodo de investigacin prospectiva tal como Delphi, seguido por entrevistas personales para establecer el valor de dichas opiniones. Por otra parte, la valuacin de activos no est en la mayora de los casos al alcance de los tcnicos. El valor o nivel de un activo es un valor del negocio y para los negocios de una empresa. Esto seala que los propietarios de los procesos de negocio son quienes pueden establecer un valor adecuado de los mismos y de all derivar los valores de los activos/recursos que manejan las diferentes funciones que componen cada proceso. A esta altura habr que determinar la forma de reducir los riesgos a niveles aceptables. El medio adecuado para hacerlo ser la aplicacin de la norma ISO 27002 (que contempla todos los aspectos mencionados, es decir, organizacionales, operacionales, tcnicos de ITC o TIC, y fsicos), para seleccionar a partir de tales riesgos los controles de dicha norma necesarios para tal reduccin. Dichos controles se implementarn conforme la norma ISO 27001 para establecer as un Sistema de Gestin de Seguridad de la Informacin o SGSI que, adems de ser certificable, guarda alineamiento y armonizacin con otros sistemas de gestin como los de Calidad y Ambiental, entre otros. Seguridad de la Informacin y Seguridad Informtica La extensin del concepto usual de seguridad informtica al de seguridad de la informacin, implica un corrimiento y visin ms amplia de un marco de riesgos de negocios respecto de la perspectiva tradicional de seguridad tcnica, basada principalmente en vulnerabilidades. De acuerdo con lo visto anteriormente, tal extensin se da de dos maneras. Por un lado, en el contexto de la seguridad de la informacin los riesgos de negocios incluyen no slo las vulnerabilidades y un aspecto de las amenazas, sino el conjunto de los factores que determinan tales riesgos: activos, vulnerabilidades y amenazas. Por otra parte, los riesgos de negocios que se consideran incluyen los riesgos organizacionales, operacionales, fsicos y de sistemas ICT.
Una visin ilustrativa de tales conceptos puede visualizarse en la figura que se acompaa. En todo este escenario, especialmente de riesgos organizacionales y operacionales, aparece un factor generalmente descuidado y an desconocido en la implementacin de medidas de seguridad. Se trata del factor gente, ya que tales medidas requieren cambios de comportamiento y actitudes lo que puede entrar en conflicto con los esquemas de la mayora de las personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan para el caso. La gestin de cambios a nivel personal, grupal y organizacional, incluyendo las redes sociales internas y la propia cultura corporativa, nos enfrenta con desafos de caractersticas nada tcnicas. Se necesita construir una participacin y compromiso efectivos a fin de lograr el xito en la implementacin de las medidas de seguridad. Para ello hay que comunicar al personal de supervisin el conocimiento y comportamiento adecuados as como facilitar el desarrollo de la resiliencia. Y que dicho enfoque sea luego trasladado de manera anloga al personal que cada uno tenga a su cargo. Finalmente surge tambin que un enfoque completo de seguridad de la informacin parte de considerar que los recursos necesarios para mitigar los riesgos dentro de un plan de seguridad, no son un gasto sino una inversin. Y que, como tal, se requiere el anlisis y determinacin cuantificable del retorno de las inversiones en seguridad, particularmente por medio de la determinacin del ROSI (Retorno Sobre la Inversin en Seguridad) como extensin del conocido concepto financiero de ROI (Retorno Sobre la Inversin).