Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de La Informacion en Un Mundo Sin Fronteras PDF
Seguridad de La Informacion en Un Mundo Sin Fronteras PDF
Seguridad de la
informacin en un
mundo sin fronteras
Es momento de replantear el tema
La seguridad de la informacin busca un
equilibrio entre el nivel de seguridad y el
costo, y plantea dos preguntas importantes:
4
Contenido
5
Si su organizacin se est basando
en el pasado para proteger su futuro,
su programa de seguridad de la
informacin ya est obsoleto.
Introduccin
2
Un enfoque de seguridad integrado
Predictivo y para toda la empresa
Es momento de cambiar la perspectiva. La seguridad de la Opta por aceptar ciertos elementos en lugar de prohibirlos. Se
informacin no es un simple ejercicio de cumplimiento. Ninguna enfoca en la confianza y no en la paranoia. A continuacin se
solucin puede inocular a una red de un ataque y proteger la presentan los elementos de una estrategia transformacional de
informacin no solamente depende del rea de TI. En cambio, seguridad de la informacin que su organizacin puede utilizar
el nuevo enfoque de seguridad integrado es predictivo y para para fomentar la confianza en un mundo sin fronteras.
toda la empresa. Protege de manera proactiva y espera lo peor.
3
Si considera que su organizacin no
tiene riesgos reales, entonces no los ha
identificado.
4
Un buen ejemplo
Muchas compaas exitosas de seguridad de la informacin comienzan por aprovecharse de una pequea debilidad para
lograr un objetivo ms grande. Por ejemplo, durante una evaluacin reciente de seguridad, nuestro equipo pudo violar una
cuenta individual simplemente al utilizar el proceso estndar de cambio de contrasea del cliente e investigar un poco sobre
informacin pblicamente disponible. Al descubrir algunas de las respuestas clave a las preguntas (Cmo se llam tu primera
mascota? y Cul es el apellido de soltera de tu mam?), el equipo pudo cambiar exitosamente la contrasea del usuario
y luego ingresar a su cuenta, lo cual deriv en una violacin del sistema de RH para el cual dicho usuario tena autorizacin.
Con base en estos resultados, la organizacin ajust su poltica, procesos y controles para la administracin de identidades y
accesos.
5
Proteger la informacin ms importante
Proteger lo ms importante
Cules de los siguientes controles ha implementado para mitigar los riesgos nuevos o
Elaborar una estrategia de seguridad que van en aumento?
enfocada en los impulsores de negocio
y en proteger los datos de alto valor. Ajustes a polticas 64%
Un buen ejemplo
Una compaa de petrleo y gas crea que no tena problemas de fuga de datos. Sin embargo, debido a un ataque que sufri
uno de sus pares, la empresa decidi contratar un proveedor externo para asegurar que su informacin estuviera segura.
En el segundo da de revisin de Ernst & Young, nuestro equipo descubri que una jurisdiccin extranjera estaba robando
informacin sensible acerca de su propiedad intelectual patentada y vendindola en el extranjero. Esta compaa no tena
clientes en esa jurisdiccin y no haba una razn de negocios vlida por la cual los datos estuvieran filtrndose hacia esa
direccin.
Con base en los resultados, los cuales sorprendieron al consejo y comit de auditora, la organizacin replante completamente
su enfoque para manejar la informacin, es decir, cmo proteger esta y a la vez permitir el uso de la misma.
6
Las compaas inteligentes estn
cambiando su enfoque para construir
capacidades eficaces de deteccin
predictiva y respuesta.
7
Equilibrar los fundamentos
Un buen ejemplo
Durante el proceso de integracin despus de una adquisicin reciente, una compaa global analiz detenidamente la eficacia
general de su organizacin de seguridad, sus procesos y su tecnologa. El anlisis de Ernst & Young resalt muchas reas que
podran optimizarse, incluyendo:
Simplificar sus diversos marcos de cumplimiento y controles al consolidarlos en un marco de gobierno ms completo que
aborda las mltiples necesidades de cumplimiento al mismo tiempo.
Disminuir considerablemente sus gastos en la administracin de vulnerabilidades al subcontratar la administracin de
computadoras de escritorio y las PC.
Mejorar las herramientas que utiliza para la administracin de identidad y accesos al habilitar nuevos elementos de
autoservicio que disminuyen considerablemente las llamadas al Help Desk.
8
Impulse el valor de las inversiones que
se encuentra realizando y destine ms
tiempo a las reas que tienen mayor
riesgo.
9
Seguramente cometer errores. Dese
cuenta a tiempo y asegrese de que
sean mnimos.
Un buen ejemplo
Durante cinco aos, una institucin financiera haba invertido en un programa para identificar y desarrollar tratamientos que
remediaran 10 aos de riesgos extremos de seguridad de la informacin. Con la ayuda de Ernst & Young, la compaa realiz
actividades para integrar una prctica de administracin de riesgos sustentable en el programa bajo un marco acelerado de tres
aos. El proyecto fue lanzado en una divisin de la empresa, con el fin de implementarlo en otras dependiendo de su xito.
En el periodo de tres aos al que se haba comprometido, la organizacin fue capaz de:
Mejorar su calificacin de auditora de riesgo de seguridad de la informacin
Disminuir ms de una docena de riesgos de negocio
Liberar capital de auditora
Reducir los riesgos extremos en un porcentaje de dos dgitos
El programa fue tan exitoso que la compaa comenz a utilizar un programa similar en la regin de Asia-Pacfico.
10
Han habido cambios sorprendentes en los ltimos aos en el entorno reglamentario en cuanto a la
proteccin de la informacin. Se esperan ms leyes y reglamentos en los prximos aos. Las compaas
responsables buscan adelantarse a estos reglamentos para evitar interrupciones en los procesos de
negocio y para trabajar hacia normas y procesos globales y sin fisuras que habilitan, y hasta aceleran, el
crecimiento.
Nuala OConnor Kelly, Asesor Senior, Gobierno de Informacin y Director General de Privacidad, General Electric
Permitir que la seguridad impulse el ejemplo, los tableros de seguridad tradicionales podran
reportar la cantidad de alertas generadas por los sistemas de
cumplimiento deteccin de intrusin, las imgenes en los dispositivos de
permetro y el nmero de veces que se ha bloqueado el software
Las organizaciones cuyos programas de seguridad nicamente malicioso. Pero es posible que esas mtricas no sean relevantes
se enfocan en lograr el cumplimiento tienen carencias en materia o suficientes. En las audiencias acerca de la eficacia de la Ley
de seguridad. Los recientes casos de prdida de informacin Federal de Administracin de Seguridad de la Informacin
muestran que las compaas cumplieron con la norma, pero (FISMA, por sus siglas en ingls), los integrantes del comit
no eran lo suficientemente seguras. Ocurrieron violaciones parlamentario reconocieron la ineficacia de las mtricas basadas
debido a prcticas inseguras y no por la falta de cumplimiento en cumplimiento.1
con la norma reglamentaria. A nivel global, los reguladores no
han llegado a un acuerdo sobre qu o cunta informacin debe Diversos CIO federales y expertos en seguridad reconocieron
protegerse. Debido a lo anterior, los reglamentos no definen que a pesar de los miles de millones de dlares invertidos en
a detalle cmo proteger los datos de una organizacin. Estn la medicin basada en el cumplimiento para la FISMA, se ha
atrasados en materia de abordar los avances como las redes hecho poco por mejorar la seguridad del Gobierno de EE.UU.
sociales y los dispositivos mviles, as como la privacidad de Desafortunadamente, muchas compaas estadounidenses an
la informacin personalmente identificable. Para estar al da, adoptan el mismo enfoque.
los legisladores tratan de entender cmo proteger esta en el
mbito pblico y en el dominio corporativo. Los reguladores Es mejor centrarse en las medidas basadas en resultados.
tambin empiezan a exigir que las empresas no solo demuestren Aunque se deben seguir rastreando las mtricas tradicionales,
que implementaron un programa de cumplimiento, sino que el enfoque debe ser sobre aquellas consideradas crticas que
proporcionen evidencia de que funcion. realmente tienen importancia:
Evidentemente, el cumplimiento reglamentario tiene que ser La cantidad de amenazas reales a la seguridad de la
un elemento crtico de cualquier estrategia de seguridad de la informacin
informacin. Sin embargo, no debe ser el nico impulsor, sobre La cantidad de archivos del negocio que se perdieron por un
todo porque no garantiza que la compaa est protegida de ataque
amenazas actuales o emergentes. Cumplir no es lo mismo que El tiempo que tarda la organizacin en recuperarse de una
estar seguro. Las normas internacionales de seguridad de la violacin
informacin son una gua til para impulsar las iniciativas en esta
materia, pero el xito realmente surge de la implementacin. Las Estas mtricas estn directamente alineadas con los objetivos de
normas y reglamentos no garantizan la seguridad en la empresa. negocio de competitividad e integridad de datos, a diferencia de
otras medidas, como la eficacia de los parches o el cumplimiento
con las polticas de seguridad.
Medir los indicadores lderes
Estos indicadores lderes le permitirn identificar los problemas
Las mtricas de seguridad tradicionales tienden a mirar hacia cuando todava son pequeos. Estos errores reducidos le
atrs (los conteos de vulnerabilidad, el cumplimiento con la advertirn acerca de las consecuencias inesperadas de las
poltica, los parches faltantes, el porcentaje de avance de decisiones o acciones de seguridad. Por lo tanto, su compaa
las iniciativas) o se enfocan en estadsticas aparentemente podr: tomar decisiones ms inteligentes basadas en riesgo,
relevantes que tienen poco peso sobre la seguridad de la invertir prudentemente en la administracin de riesgos de
informacin real que las compaas buscan proteger. Por informacin y atenderde manera eficaz a las reas de seguridad
que representan el peligro ms grande.
1
David Perera, FISMA blasted at House hearing,
FierceGovernmentIT, 24 de marzo de 2010.
Tres preguntas clave
Est tomando riesgos controlados en lugar de eliminarlos por completo?
Sus indicadores clave son dbiles o fuertes?
La informacin es una prioridad a nivel del consejo?
11
No prohba las nuevas tecnologas.
Utilice las fuerzas del cambio para
habilitarlas.
Ante los cambios rpidos, su organizacin tiene dos opciones: resistirlos o aceptarlos.
Apoyamos firmemente la ltima opcin, de acuerdo con nuestro enfoque de seguridad
integrado. De hecho, puede utilizar las fuerzas del cambio para crear polticas de
seguridad ms inteligentes que permitan el uso de nuevas tecnologas en lugar de
prohibirlas.
12
Tres preguntas clave
Todas las partes interesadas de la compaa entienden la importancia de la
seguridad de la informacin?
Para cada uno de los siguientes aspectos, cul es el nivel de Alinear las funciones de seguridad de la informacin con los
reto relacionado con la implementacin eficaz de las iniciativas riesgos ms importantes para el negocio.
de seguridad de la informacin de su compaa?
Coordinar la infraestructura y gente al evaluar continuamente
Redes sociales
sus niveles de capacidad y brechas, as como la inversin en el
37% 31% 26% 6% 1%
desarrollo de habilidades.
Concientizacin y patrocionio
24% 47% 18% 10% 1%
del alta direccin
Nivel de concientizacinen Utilizar mtodos y prcticas coherentes que apliquen un
24% 44% 24% 7% 0%
seguridad de los empleados enfoque estructurado en cuanto a la administracin de
Cambios en la organizacin 25% 34% 26% 11% 3% seguridad de la informacin en toda la empresa.
Incertidumbre y cambios
regulatorios
26% 22% 35% 13% 3% Asegurar el uso de informacin y tecnologa comunes, lo cual
promueve un intercambio congruente de datos acerca de los
Tecnologas emergentes 18% 34% 34% 10% 4%
riesgos clave de seguridad de la informacin y negocios en
incremento en la movilidad del 20% 29% 31% 16% 4% toda la compaa.
incremento del trabajo
Disponibilidad de personal 13% 31% 31% 16% 9%
capacitado
Establecer mtricas del programa de
Incertidumbre del negocio 18% 20% 29% 21% 13%
seguridad que impacten el desempeo del
Presupuesto adecuado
negocio
8% 28% 37% 16% 12%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Cualquier programa nuevo de seguridad de la informacin tendr
Reto significativo 4 3 2 No hay reto que enfocarse en la medicin del valor y la responsabilidad. Por lo
tanto, deber desarrollar mtricas que midan el impacto que tiene
Muestra: porcentaje de encuestados
el programa sobre el desempeo del negocio. Estas mtricas deben
Fuente: 13a Encuesta Global de Seguridad de la informacin (EGSI) y comparativo estar alineadas directamente con los objetivos de negocio general
Mxico. de su organizacin.
Sin embargo, en Mxico pareciera que esta tendencia es
Contar con un cuadro de mando de valor para mantener un
diferente, ya que 37% de los encuestados seal este tema como
registro de sus avances y aportaciones podr ayudarlo a lograr
crtico.
sus objetivos de desempeo. Al definirse junto con las partes
interesadas, servir como una medida cualitativa del desempeo
Desde luego, para aceptar los cambios podr ser necesario
de la seguridad de la informacin y del valor entregado a la
realizar modificaciones considerables en la cultura de su
empresa. Los temas que un cuadro de mando de valor debe incluir
organizacin. Tendr que contar con un buen programa de
son:
administracin del cambio y un encargado de la ejecucin que
lo encabece. Comience con el apoyo de los altos cargos y de los
La forma en que la administracin del nmero de incidentes
ejecutivos que ponen el ejemplo. Siga con un enfoque persistente
que le dieron a la compaa una exposicin externa negativa
sobre la gente y comunquese de forma abierta y honesta,
ha servido para administrar el valor de la marca y limitar el
aborde sus inquietudes y cntrese en los beneficios que los
riesgo reputacional.
cambios traern consigo.
La manera en que las medidas de seguridad adecuadas
Extender los programas de seguridad en ayudaron a limitar la cantidad de trabajo que se tuvo
toda la empresa que rehacer y que, por consiguiente, contribuyeron a los
resultados finales.
La seguridad de la informacin debe ser un elemento base de la
estrategia general de administracin de riesgos de su compaa. La forma en que la comunicacin acerca de las medidas de
Esto fomentar una mayor transparencia en cuanto a los posibles seguridad y privacidad (en sitios web, artculos, con base
riesgos y permitir que los equipos de seguridad trabajen en certificados) ayud a fomentar el e-business y, a su vez,
conjuntamente con los equipos de mayor riesgo para planear, contribuy a los ingresos.
proteger, detectar y responder ante las amenazas existentes
y emergentes. Los equipos de seguridad tambin tendrn que
trabajar con las unidades de negocio para:
13
Conclusin
La seguridad de la informacin en accin
Al replantear su estrategia de seguridad de la informacin y Entender a fondo lo que constituye la informacin crtica
utilizar nuestro enfoque de seguridad integrado, su organizacin de la organizacin, en dnde se encuentra y quin tiene o
podr prepararse proactivamente mientras espera lo peor; podr requiere acceso a ella.
aceptar los cambios en lugar de resistirlos; y podr enfocarse en
la confianza en lugar de la paranoia. Buscar medios para medir, monitorear y reportar sobre la
eficacia del programa de seguridad y los controles.
Al hacer esto, su compaa podr administrar los riesgos
adecuados e impulsar el valor al: Hacer nfasis sobre un mejor gobierno de la seguridad de la
informacin.
Entender su madurez en cuestiones de seguridad en el
presente y futuro. Saber en dnde se encuentra y en dnde Optimizar los programas de seguridad para obtener
quiere estar sirve para guiar la estrategia. eficiencias y reducir costos.
Contar con una estrategia de seguridad de la informacin Crear una cultura de confianza y responsabilidad entre los
basada en riesgos que est alineada con las necesidades del clientes, consumidores, proveedores y empleados en un
negocio. Esto permite lograr el cumplimiento y mantener la mundo con cada vez menos fronteras.
integridad y confidencialidad de la informacin crtica.
14
Acerca de Ernst & Young
En Ernst & Young nuestros servicios se enfocan en las necesidades y problemas especficos
del negocio de cada uno de nuestros clientes, porque reconocemos que cada uno es
exclusivo de ese negocio.
La tecnologa de la informacin (TI) es clave para que Trabajamos con usted para desarrollar un enfoque integral y
las organizaciones modernas puedan competir. Ofrece la holstico en relacin con sus riesgos de TI o para tratar asuntos
oportunidad de estar ms cerca, ms enfocado y de responder especficos de riesgo y seguridad de la informacin. Entendemos
con mayor rapidez a los clientes, y puede redefinir tanto la que para poder alcanzar su potencial requiere servicios
eficacia como la eficiencia de las operaciones. Sin embargo, personalizados y metodologas congruentes. Trabajamos para
conforme crece la oportunidad, tambin aumenta el riesgo. darle el beneficio de nuestra amplia experiencia en el sector, un
La administracin eficaz de riesgos de TI le ayuda a mejorar profundo conocimiento del tema y las perspectivas ms recientes
la ventaja competitiva de sus operaciones en la materia al de nuestro trabajo a nivel mundial. As es como Ernst & Young
hacer que estas sean ms rentables y al reducir los riesgos marca la diferencia.
relacionados con el funcionamiento de sus sistemas. Nuestros
6,000 profesionales en riesgos de TI recurren a nuestra vasta Para obtener ms informacin acerca de cmo podemos marcar
experiencia personal para brindarle nuevas perspectivas y la diferencia en su empresa, favor de contactar a nuestros
asesora objetiva y abierta, dondequiera que se encuentre en el profesionales.
mundo.
Contactos
Carlos Chalico
Tel: (55) 1101 6414
carlos.chalico@mx.ey.com
Erika Saucedo
Tel: (55) 1101 6412
erika.saucedo@mx.ey.com
15
Material relacionado de liderazgo intelectual
Descargue nuestras investigaciones en ey.com/mx/publicaciones (seccin Asesora)
La segregacin de funciones es una prioridad Durante los ltimos cinco aos, las
para muchos profesionales, debido en parte organizaciones han experimentado un
a los reglamentos impulsados por controles aumento en el volumen de fuga intencional
en todo el mundo y a la responsabilidad a y no intencional de datos. Esta nueva
nivel ejecutivo por lograr su implementacin publicacin explica cmo un programa
exitosa. En este documento se plantea un que incluye controles tcnicos y de
enfoque prctico y basado en riesgos para comportamiento puede proporcionarles
lograr el cumplimiento con la segregacin de a los empleados responsables una salida
funciones. para las inquietudes, mientras se protege la
informacin confidencial de las fugas por parte
de personas con malas intenciones.
*Disponibles en ey.com/informationsecurity
16
17
Ernst & Young