3.

EL MODELO
El modelo de negocio de Seguridad de la Informacin comenz su vida como un modelo para
direccin de seguridad sistmica, creado por Doctor Laree Kiely y Terry Benzel en la Escuela de
Mariscal USC del Instituto De negocio para Proteccin de Infraestructura de Informacin
Crtica.
En el 2008 ISACA adquirido de la universidad los derechos para desarrollar el modelo para
ayudar a incorporar sus conceptos en las prcticas de seguridad de la informacin a nivel
mundial.
El modelo tiene un enfoque orientado a los negocios de gestin de seguridad de la
informacin.
Su acercamiento (enfoque) holstico y dinmico a la seguridad de la informacin dentro del
contexto de negocio manifiesta a la empresa que la seguridad de la informacin puede ser
tanto predictivo como proactiva.
El modelo puede ser usado independientemente del tamao de la empresa o el marco de
seguridad de la informacin (en su caso) que la empresa tiene actualmente en vigor.
El modelo es independiente de cualquier tecnologa o de los cambios tecnolgicos a travs del
tiempo. Asimismo, es aplicable en todas las industrias, geografas y sistemas regulatorios y
legales. Esto incluye la seguridad no slo tradicional de la informacin, pero tambin la
intimidad, acoplamientos para arriesgar, la seguridad fsica y el cumplimiento.
ESTRUCTURA DEL MODELO
Como se ilustra en la figura 1, el modelo se ve mejor como un sistema flexible, en tres
dimensiones, con estructura piramidal compuesta por cuatro elementos vinculados entre s y
por seis interconexiones dinmicas.
Todos los aspectos del modelo interactan unos con otros. Si cualquier parte del modelo es
cambiada, no dirigido o manejada de manera poco apropiada, el equilibrio del modelo esta
potencialmente en peligro. Las interconexiones dinmicas actan como relaciones tensas,
ejerciendo una fuerza empujar/tirar en la reaccin a cambios de la empresa, permitiendo al
modelo adaptarse segn sea necesario.
























LOS ELEMENTOS
Los cuatro elementos del modelo son:
1. Diseo, organizacin y estrategia- Una organizacin es una red de personas, bienes y
procesos que interactan entre s en roles definidos y trabajando hacia un objetivo comn.
La estrategia de una empresa especifica sus objetivos de negocio y los objetivos a alcanzar
as como los valores y las misiones que se persiguen. Esto es la frmula de la empresa para
el xito y pone su direccin bsica. La estrategia debera adaptarse a factores externos e
internos.
Los recursos son la materia prima para el diseo de la estrategia y puede ser de diferentes
tipos (personas, equipos, conocimientos). El diseo define como la organizacin pone en
prctica su estrategia. Los procesos, la cultura y la arquitectura son importantes para la
determinacin del diseo.
2. Persona-la persona representa los recursos humanos y las cuestiones de seguridad que los
rodean. Define quin implementa (a travs del diseo) cada parte de la estrategia.
Representa un colectivo humano y debe tener en cuenta los valores, comportamientos y
sesgos. Internamente, es fundamental para el gerente de seguridad de la informacin para
Figura 1-El modelo de negocio de Seguridad de la Informacin
ORGANIZACIN
(Diseo / Estrategia)
ORGANIZACIN
(Diseo / Estrategia)
ORGANIZACIN
(Diseo / Estrategia)
ORGANIZACIN
(Diseo / Estrategia)
G
O
B
I
E
R
N
O

FACTORES HUMANOS
Fuente: Adaptado de la Escuela de Mariscal USC de Instituto De negocio para Proteccin de
Infraestructura de Informacin Crtica
trabajar con el recurso humano y departamentos jurdicos para abordar cuestiones tales
como:
Las estrategias de reclutamiento (acceso, verificacin de antecedentes,
entrevistas, roles y responsabilidades)
Cuestiones relativas al empleo (ubicacin de la oficina, el acceso a las
herramientas y los datos, la formacin y la conciencia, el movimiento dentro de la
empresa).
Terminacin (razones para salir, momento de la salida, funciones y
responsabilidades, el acceso a sistemas, el acceso a otros empleados)
Externamente, clientes, proveedores, medios de comunicacin, grupos de inters
y otros pueden tener una fuerte influencia en la empresa y tienen que ser
considerados dentro de la postura de seguridad.

3. Proceso- El Proceso incluye mecanismos formales e informales (grande y pequea, simple
y complejo) de hacer las cosas y proporciona un vnculo vital para todas las
interconexiones dinmicas. Procesos de identificar, medir, gestionar y controlar el riesgo,
la disponibilidad, integridad y confidencialidad, y tambin asegurar la rendicin de
cuentas. Ellos se derivan de la estrategia y ponen en prctica la parte operacional del
elemento de organizacin. Para ser ventajoso a la empresa, los procesos deben:
Cumplir con los requisitos de negocio y alinear con la poltica.
Considere la posibilidad de surgimiento y poder adaptarse a las necesidades
cambiantes.
Estar bien documentado y comunicado a los recursos humanos apropiados.
Ser revisado peridicamente, una vez que estn en su lugar, para asegurar la
eficiencia y la eficacia

4. Tecnologa- El elemento de la tecnologa se compone de todas las herramientas,
aplicaciones e infraestructura que hacer los procesos ms eficientes. Como un elemento
que se desarrolla que experimenta cambios frecuentes, ello tiene sus propios riesgos
dinmicos. Considerando la dependencia de la empresa tpica en la tecnologa, la
tecnologa constituye una parte fundamental de la infraestructura de la empresa y un
componente crtico en el cumplimiento de su misin.








PEGA TU PARTE










6.Arquitectura-Una arquitectura de seguridad es una encapsulacin completa y formal de
las personas, los procesos, las polticas y tecnologas que conforman las prcticas de
seguridad de una empresa. Una robusta arquitectura de la informacin empresarial es
esencial para entender la necesidad de seguridad y el diseo de la arquitectura de
seguridad.
Es dentro de la arquitectura la interconexin dinmica que la empresa puede asegurar la
defensa a fondo. El diseo describe como los controles de seguridad son colocados y como
ellos relacionan con la arquitectura general de TI. Una arquitectura de seguridad de la
empresa facilita capacidades de seguridad a travs de lneas de negocios en una constante
y una manera rentable y permite a empresas ser proactiva con sus decisiones de inversin
de seguridad.

UTILIZACIN DEL MODELO
Dado el ritmo de los negocios hoy en da, las empresas necesitan entender los problemas en
un momento dado en el tiempo y ser capaz de disear soluciones de forma rpida y eficaz.
Mediante la aplicacin de conceptos de pensamiento de sistemas, el modelo permite un
enfoque del ciclo de vida de la direccin de seguridad de la informacin en todas partes de la
empresa. El modelo enfoca en la seguridad, pero una vez que totalmente es abrazado, esto
positivamente puede afectar otros procesos funcionales tambin.







El modelo se beneficiar de una serie de partes interesadas mediante la reduccin de costes, la
mejora de rendimiento, el fomento de una mejor comprensin de los riesgos organizacionales,
aumentando la colaboracin y reduccin de la duplicacin de esfuerzos. La utilizacin diligente
del modelo equipar empresas para tratar con los problemas actuales y futuros, tales como:
Requisitos reglamentarios
Globalizacin
Crecimiento y escalabilidad
Sinergias organizativas
La evolucin de la tecnologa
Los mercados econmicos
Recursos Humanos
Competencia
Amenazas siempre cambiantes
Innovacin
Prcticamente todas las empresas tienen reas del modelo pueden ayudarlo a gestionar de
forma ms eficiente. Los mtodos apoyados en el modelo-como la creacin de una cultura que
acepta intencionalmente la seguridad de la informacin, proporcionando la conciencia y y
formacin para los empleados a entender a fondo lo que la informacin de seguridad es y
cmo se relaciona con ellos, y la consideracin de publicaciones sociales y psicolgicas -
ayudarn a mejorar la gestin de la seguridad de cualquier empresa.
El uso del modelo ayudar a los administradores a aprender a dirigir la agregacin de riesgos
generados por la combinacin y la interrelacin de acontecimientos y dimensiones dinmicas,
ms bien que por el modelo de causa-y-efecto. Como resultado de ello, pueden utilizar el
modelo para crear herramientas que ayudan a las personas a definir los procesos sistmicos y
mejorar el manejo del riesgo dentro de la empresa.
Algn trabajo de fondo tiene que ser hecho antes de que el empleo del modelo comience, para
garantizar que tiene todas las oportunidades para producir beneficios. Desde una estrategia
organizativa y la perspectiva del diseo, es fundamental para el gerente de seguridad adquirir
en una compra El mejor equipo directivo para el programa. Esto ayudar tanto con
publicaciones culturales como de proceso. La inculcacin de perspectivas de gobernanza
apropiadas ayudar a asegurar la alineacin del programa de seguridad con los objetivos de la
empresa. Esto puede conducir a equilibrar, al permitir una vista de la seguridad desde una
perspectiva de negocio y una visin de negocio a partir de una seguridad perspectiva. Esto
tambin reiterar la importancia a los gerentes sobre la comprensin de la seguridad como
una iniciativa de organizacin en vez de una iniciativa de tecnologa.