Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Informática PDF
Seguridad Informática PDF
Jeimy J. CANO
__________________________________________________________________
Descriptores: Pensamiento sistémico, políticas de seguridad informática, mente segura, estrategias de
seguridad informática, administración de seguridad informática.
Resumen
El concepto y la práctica de la seguridad informática a lo largo del tiempo ha sido una
disciplina dominada por la élite de los profesionales especializados en el tema, dejando
generalmente por fuera del escenario corporativo al individuo e incluso a la
organización. En este sentido y conociendo la dinámica actual de los negocios, la
necesidad de una visión integradora, de lenguajes comunes que inspiren y orienten las
acciones de los participantes del mercado, se plantea una revisión conceptual y práctica
de la seguridad informática tomando como insumo básico la propuesta de Day [2003]
denominada: la mente segura. Esta revisión confronta la tradición histórica de la
seguridad informática para darle paso a una reflexión que involucra la dinámica de los
negocios y el valor agregado de la misma. Finalmente este documento, establece un
contexto para las prácticas actuales de la seguridad informática y la aplicación misma de
la mente segura, con el fin de proponer una visión sistémica de la mente segura, que
vincula de manera formal elementos como la tecnología, el individuo y la organización,
enfatizando en el estudio de éstos y sus relaciones, para repensar la seguridad
informática más allá de la experiencia tecnológica tradicional.
INTRODUCCIÓN
Ingeniero de Sistemas y Computación, Universidad de los Andes, Colombia. Magister en Ingeniería
de Sistemas y Computación, Universidad de los Andes, Colombia. Doctor of Philosophy (Ph.D)
in Business Administration, Newport University, USA. Certified Fraud Examiner – CFE.
Profesor de la Facultad de Derecho, Universidad de los Andes, Colombia. Profesor Engineering
School. Newport University. IEEE Senior Member. Contacto: jjcano@yahoo.com
aumentar la certeza y el adecuado seguimiento de las actividades de los usuarios y
procesos en los diferentes sistemas informáticos o electrónicos, con el fin de mantener
un adecuado control (comprendido como capacidad de regulación) de la evolución del
sistema y un registro óptimo de los empleados en el uso de los sistemas de
información disponibles para soportar la operación de las organizaciones
[SCHETINA, E., GREEN, K., y CARLSON, J. 2002, PROCTOR, P. y BYRNES, F.
C. 2002].
Esta evolución ha estado confinada entre una rápida transformación tecnológica y una
mediana apropiación de la tecnología en las organizaciones. Si bien las motivaciones
organizacionales, fundadas en mayor capacidad de interacción y eficiencia de las
unidades de negocio, son un factor decisivo para promover desarrollos de sistemas de
información de amplia cobertura y orientado a los clientes; la capacidad de absorción
(capacidad de comprender y usar la TI) de esta nueva tecnología y sus posibilidades,
por parte de los individuos de la organización, podría no ser tan rápida como la que
espera la alta gerencia de la organización, generando posibles diferencias en los
proceso de negocio que puedan comprometer la información que en ellos se maneja.
En este sentido, la seguridad informática, por una tradición académica y científica,
fundada en un contexto histórico donde la inversión en protección y control de
información son los factores comunes, se ha confinado al contexto de dispositivos,
iniciativas y estrategias técnicas y experimentales para elevar cada vez más los niveles
de control sobre los datos disponibles, sabiendo que ellos, son parte esencial de la
razón de ser de los proceso de negocio. Esta realidad, se ha afirmado a lo largo del
tiempo en las organizaciones, generando un paradigma eminentemente técnico
alrededor del tema de seguridad informática, generalmente de dominio de los
profesionales de la ingeniería, donde el espacio para individuos de otras disciplinas
generalmente no es muy amplio.
En razón a lo anterior y explorando en profundidad el espíritu del concepto de
seguridad informática, este documento busca repensar dicho concepto integrando la
realidad organizacional y sus procesos, la tecnología informática que lo soporta y el
contexto individual que hace realidad la dinámica de la seguridad informática en cada
uno de los escenarios del mundo corporativo, como una iniciativa para establecer una
integración sistémica del concepto para hacer de la seguridad informática un tema
multidisciplinario inmerso en la evolución misma de los procesos de negocio de las
organizaciones.
A continuación se revisa una breve evolución histórica de la seguridad que nos
permita luego contextualizar las prácticas organizacionales actuales en el tema, como
fundamento base para desarrollar el concepto de la mente segura y su revisión
extendida en la revisión sistémica. Finalmente se establecen algunas ideas sobre la
práctica de la mente segura extendida, las limitaciones de la misma y reflexiones
finales sobre el concepto presentado.
2
EVOLUCIÓN DEL CONCEPTO DE SEGURIDAD INFORMÁTICA
3
principios de la seguridad de la información: Confidencialidad, Integridad y
Disponibilidad.
El tema de seguridad informática durante los años 70’s continuaba en manos del área
técnica. Los usuarios de las organizaciones sólo eran sujetos de uso de la tecnología
los cuales generalmente transgredían las estrategias de control implantadas bien sea
por inadecuado uso de las funcionalidades, generalmente por fallas en las
aplicaciones, o por acciones malintencionadas de los mismos. La cultura del usuario,
su visión de la seguridad y su contexto en la organización en este momento no se
contemplaba en el diseño de las soluciones de control planteadas para el acceso a la
información, mientras que el detalle y prueba de las implementaciones técnicas eran
la motivación más fuerte.
Las investigaciones documentadas durante esta época muestran una concentración en
el diseño e implementación de soluciones técnicas para productos. Por tanto, se hace
necesario establecer modelos verificables y altamente confiables por lo cual las
especificaciones matemáticas formales se hacen presentes. Dentro de las propuestas
más notables tenemos: Modelo Bell-Lapadula [D. E. BELL y L.J. PADULA 1976],
Clark-Wilson [CLARK, D. y WILSON, D. 1987], Ullman-Ruzzo [HARRISON, M.,
RUZZO, W., y ULLMAN, J., 1976], Biba Model [BIBA, K. J. 1977], Sea View
Model [DENNING, D. E., LUNT, T. F., SCHELL, R. R., SHOCKLEY, W.R. y
HECKMAN, M. 1988], Chinese Model [D. BREWER, y M. NASH 1989].
Con los años 80’s las seguridad informática se ha consolidado como una disciplina
formal y científica [BARBARINO, P. 1980, KREISSIG, G. 1980, CLARK, D. y
WILSON, D. 1987, KARGER, P. 1988, DOBSON, J. E. y McDERMID, J. A 1989,
TERRY, P. y WISEMAN, S. 1989], principalmente asociada con el desarrollo de
productos y modelos de seguridad que permitan un acceso controlado a la
información. Basados en los desarrollos formales de los 70’s, el tema de políticas de
seguridad se torna más formal, no sólo para los productos y las evaluaciones de los
mismos, sino para las condiciones organizacionales y sus procesos. Esta nueva
perspectiva sugiere que las organizaciones deben considerar la existencia de sujetos,
objetos y relaciones entre éstos últimos. Si se quería avanzar en uso adecuado de los
conceptos de seguridad y control, los procesos de la organización deberían
contemplar lineamientos en esta dirección para que las aplicaciones entraran a
fortalecer estas prácticas, coherentes con los diseños e implementaciones efectuadas.
Con la popularización de Internet, el fuerte desarrollo de la computación y la mayor
interconexión de las organizaciones, la seguridad informática enfrenta durante la
década de los 90’s un nuevo desafío: seguridad distribuida. Mientras en las décadas
anteriores el detalle de la seguridad giraba entorno al aseguramiento de características
de software generalmente para uso local o personal, los profesionales de la seguridad
informática debían ahora pensar tanto en la seguridad local como en la seguridad en la
interacción con un tercero. En este sentido las primeras iniciativas se fundaron
alrededor de los estándares del DoD en el año 1985, denominados Rainbow Series:
libro naranja, libro rojo, libro púrpura, entre otros.
4
Si bien estos primeros estándares permitieron allanar el camino para las
investigaciones posteriores, seguían concentrados en aspectos técnicos de los
productos o implementaciones computacionales.
Particularmente durante los 90’s la tecnología relacionada con la seguridad
informática tuvo un amplio y sostenido desarrollo. Técnicas como las de control de
paquetes de comunicaciones, cortafuegos, detección de intrusos, redes virtuales
privadas, criptografía asimétrica, biométricos, filtros de correo electrónico, entre
otras, recibieron gran acogida por la industria, generando variedad de productos y
conceptos que son utilizados por las diferentes organizaciones tanto privadas,
públicas y militares.
Esta evolución intuitiva de la seguridad informática, no sería posible sin la
equivalente evolución de la calidad y sofisticación de los ataques desarrollados por
los intrusos. No se puede negar la importancia de las creativas maneras de confrontar
y vulnerar las soluciones de seguridad planteadas durante estos años, pues sin ellas las
mejoras planteadas a la fecha no tendrían la formalidad y dimensión que se plantea en
los productos actuales de seguridad.
En este punto de la revisión de la historia de la seguridad informática pareciera que la
cultura y visión de los usuarios con relación a la seguridad han pasado desapercibidos,
sin un papel protagónico en el concepto de seguridad. Después de los 80’s y entrados
los 90’s las organizaciones están basadas en redes de comunicaciones que requieren
una especial coordinación por parte de los individuos en las
organizaciones[BARNETT, S. 1996]. Esta dinámica de negocios multilateral,
interconectada y basada en relaciones dinámicas e internacionales, inicia el camino de
la reconciliación del tema de seguridad con el tema de negocios.
Se habla de reconciliación y no de incorporación del concepto de seguridad
informática, pues el concepto siempre ha estado en las organizaciones desde ha
mucho tiempo, sólo que disociado y especializado en los profesionales de tecnología,
y en algunas comunidades de negocio o militares en el tema de procesos
organizacionales. Esta reconciliación se promueve de manera natural dado que, al
igual que los negocios, la seguridad informática es un conjunto de relaciones que
cubren la tecnología, la organización y los individuos. Luego, mientras no se
comprendan estas relaciones en el contexto de las relaciones de negocio, la seguridad
informática no será parte del valor agregado de las relaciones con los clientes y tendrá
limitaciones para lograr una cultura de seguridad y control inherente a los procesos
corporativos basados en las acciones individuales.
Cada vez que miramos a la seguridad informática en el nuevo milenio, se confunden
los límites de la tecnología, la organización y los individuos, lo cual sugiere que la
reconciliación avanza en medio de un camino incierto para las organizaciones que
buscan responder algunos interrogantes: ¿Cómo desarrollamos una cultura de
seguridad informática? ¿Cómo hacer para que las personas sean concientes de su
responsabilidad con la seguridad? ¿Cómo hacemos para que los empleados nos
5
ayuden a detectar situaciones de posibles fallas de seguridad? ¿Cómo hacer para que
los de IT sean concientes de las características de seguridad y nos ayuden en su
implementación? ¿Cómo hacer para que la seguridad informática sea un tema
importante de la alta gerencia?
En este contexto, las prácticas organizacionales relacionadas con la seguridad
informática muestran las diferentes corrientes que llevan a las empresas de modelos
formales de seguridad y control, con sanciones y estrictas directrices, a disposiciones
medianamente formales y con controles mínimos para mantener el adecuado acceso y
control de la información. Esta realidad, generalmente responde a una perspectiva
reactiva de situaciones que previamente se han presentado, que hace que una nueva
forma de operar se plantee por la organización y que generalmente no responde a un
modelo o reflexión concreta que oriente las directrices de seguridad informática y su
relación con el proceso de negocio donde se encuentra el empleado.
En el siguiente apartado, se detallaran algunas de las prácticas organizacionales
relativas a la seguridad informática, donde se analizarán en el contexto de los
principios de seguridad generalmente aceptados: Confidencialidad, Integridad y
Disponibilidad, su utilidad y coherencia con las realidades de la dinámica de las
organizaciones. Es importante resaltar, que los análisis propuestos en la siguiente
sección, responden a la experiencia y análisis de organizaciones donde existe la
distinción de seguridad informática en algún punto de la función de tecnología de
información.
6
En este sentido entenderemos las prácticas como ejercicios permanentes que las
corporaciones desarrollan como soporte a las directrices de seguridad informática
(formales e informales) establecidas por las directivas para fortalecer las estrategias
de seguridad y control inherentes a los procesos de negocio.
A continuación presentamos un cuadro resumen de algunas de las prácticas
organizacionales generales relacionadas con la seguridad informática. Una marcación
con equis (X) en Tecnología significa que la práctica esta asociada con mecanismos,
dispositivos o software que utilizan (están capacitadas para usarla) para materializar
la práctica. Así una equis en la columna Organizacional, se traduce en la
formalización en la organización a nivel global de la práctica en el contexto de una
política corporativa y una marcación en la columna individuo, muestra que se
considera al individuo en el contexto de la seguridad, esto es, se le capacita, entrena e
induce en un entendimiento relacional de sus participación dentro de la seguridad de
la organización.
7
mecanismos de protección que se puedan diseñar para evitar el acceso o uso indebido
de la información corporativa. De igual forma, el diseño e implementación de
políticas de seguridad, se torna un tema de tecnologías y no de decisión
administrativa, que le permita contextualizar al área a cargo de la seguridad (si existe)
los mecanismos diseñados para cumplir los lineamientos en este sentido.
El aspecto organizacional, precisamente nos propone validar la existencia de una
directriz de la organización sobre temas específicos que se manifiesten en prácticas de
seguridad informática. Al revisar el cuadro anterior, podemos ver que generalmente
son pocos los temas que las directivas asumen como de su nivel, lo que lleva a que las
prácticas en sí mismas pierdan su sentido en el contexto organizacional y se
desarrollen porque “hay que hacerlo” y no se percibe como parte de un todo
corporativo donde lo que está en juego es el nivel de seguridad informática de la
organización y por ende su buen nombre.
No es de extrañar el comportamiento de la columna individuo. La herencia técnica del
tema de seguridad informática permanece sin considerar al individuo tanto en el
contexto de la seguridad a nivel organizacional, como en el uso de la tecnología de
seguridad, así como su papel en la construcción del nivel de seguridad informática de
la organización.
Si revisamos estos resultados extraídos de la realidad de algunas organizaciones,
podemos ver que los modelos de seguridad establecidos responden a motivaciones
tecnológicas administradas por profesionales técnicos en seguridad y no un concepto
donde tanto los procesos como los individuos suman en el proceso de construir la
seguridad. Si bien la seguridad informática se materializa en dispositivos técnicos de
seguridad, la alineación de los procesos organizacionales y la disposición de los
usuarios para comprometerse con prácticas de seguridad, se vuelven elementos
estratégicos para comprender las relaciones de las tuplas que plantea una seguridad
entendida más allá de los límites de la TI.
Las prácticas actuales de seguridad informática tratan de integrar al individuo en el
uso de las tecnologías de seguridad, limitando su actuación al buen uso o no de dichas
tecnologías, restringiendo la reflexión del concepto de seguridad informática desde
una perspectiva más estratégica que permita incorporar la práctica y uso de la
tecnología en una realidad corporativa que suma en la manera como se ejecutan los
procesos y se ejecutan las funciones de negocio.
Por tanto, las prácticas organizacionales actuales sugieren una disociación de
esfuerzos corporativos que se concentran en elementos tecnológicos (en la mayoría de
sus casos) y otro tanto en aspectos organizacionales (de procesos), marginando la
presencia de los individuos como agentes operadores de las distinciones
organizacionales relacionadas con la seguridad. En consecuencia, se hace necesario
repensar la visualización del concepto de seguridad informática donde la comprensión
de las relaciones de TOI se transformen en realidad tangible para los usuarios,
concreta para la organización y real para la tecnología, con el fin de hacer de la
8
seguridad de la información una experiencia que inicia en el individuo, se manifiesta
en los procesos y se verifica en la tecnología. Es decir, un sistema que desarrolla un
esquema como un ser vivo, que piensa, para nuestro caso con una mente segura.
Hablar de una mente segura, implica la existencia misma de una mente insegura.
¿Dónde se encuentra la mente insegura? ¿Como establecer que contamos con una
mente insegura? Para ello, vamos a desarrollar un concepto extendido de mente
segura propuesto inicialmente por Day [2003] fundado en virtudes y reglas de
seguridad informática.
9
información y la de sus clientes. Mientras la seguridad se haga parte de las
consideraciones diarias del personal, el número de vulnerabilidades asociadas con las
relaciones de los sistemas o aplicaciones será menor. Es importante anotar que las
vulnerabilidades siempre estarán presenten en cualquier contexto informático, sólo
que se potencian si no se tiene una disciplina de seguridad apalancada en una
disciplina y conciencia corporativa reflejada en sus usuarios.
El esfuerzo comunitario de la seguridad nos presenta la necesidad de establecer un
equipo conjunto entre los profesionales de la seguridad informática y el personal de
toda la organización. Generalmente se considera que el problema de la seguridad es
de los profesionales de tecnología que se dedican a esta temática. Por tanto, es
menester de los profesionales de seguridad informática desarrollar estrategias para
vincular de manera natural a los usuarios finales en prácticas de seguridades locales e
inherentes a sus labores diarias, con el fin de contar con mayores y mejores aliados
para avanzar en una seguridad preventiva y preactiva. Dicha seguridad comunitaria,
debería llegar a establecer canales claros para mantener informados a los
colaboradores de la organización y éstos comprendieran las implicaciones de los
anuncios con relación a la seguridad, para así transformar la seguridad de “algo que se
tiene que hacer”, a “algo que se hace por convicción personal y corporativa”.
Es frecuente ver como las organizaciones permanecen concentradas en aspectos
altamente específicos de la tecnología y sus fallas, los que generalmente terminan con
la aplicación de parches para subsanar la falla puntualmente identificada. Según Day
[2003, pág.31] cuando las corporaciones se concentran en éstos detalles específicos,
pierden la visión general de la problemática, generando un importante espacio para la
materialización de otras posibles fallas de seguridad de mayor impacto. Es decir,
contextualizar la técnica generalmente aceptada llamada “apagar incendios”, lo cual
manifiesta una práctica inadecuada de evaluación y control de la seguridad
informática. En este sentido considerar la reglas de seguridad informática permiten
mantener una visión general y clara de las implicaciones, verificando en segunda
instancia los detalles requeridos para la corrección. Lo importante en esta virtud es
mantener la vista en lo general para establecer las implicaciones de las
implementaciones particulares.
El entrenamiento en seguridad informática es un factor crítico en la construcción de
una mente segura. Los cursos especializados y de formación en tecnologías de
seguridad son insumo importante de las áreas de seguridad para construir y mantener
un conjunto de habilidades técnicas necesarias para regular y adaptar la arquitectura
de seguridad planteada. No obstante lo anterior, el entrenamiento y capacitación de
los usuarios finales en el tema de seguridad es un elemento que define en sí mismo el
nivel de seguridad de la organización. Es decir, la seguridad de una organización no
se mide por su arquitectura tecnología dispuesta para la seguridad, sino en el nivel de
entrenamiento y participación de los usuarios finales con relación a la seguridad
informática. Esta distinción nos sugiere que esta virtud exige de los profesionales de
tecnología, el desarrollo de una relación cercana entre los usuarios finales y sus
10
necesidades, así como de una capacidad de reporte de posibles fallas de seguridad
informática tanto de los colaboradores como de los profesionales de la seguridad
informática.
De otra parte, tenemos las reglas de la seguridad informática complementarias a las
cuatro virtudes sugeridas inicialmente. De acuerdo con Day [2003, pág.40, CANO
2003] existen ocho reglas de seguridad informática:
1. Regla del menor privilegio
2. Regla de los cambios
3. Regla de la confianza
4. Regla del eslabón más débil
5. Regla de separación
6. Regla de los tres procesos
7. Regla de la acción preventiva
8. Regla de la respuesta apropiada e inmediata
Seguidamente comentaremos brevemente en qué consiste cada una de las reglas, con
el fin de ofrecer una panorámica general que plantee la complementariedad de estos
conceptos y las virtudes previamente comentadas.
11
acceso el proceso, usuarios o sistema específico, con el fin de mediar cualquier
intento de acceso y tener claridad de quién solicita el mismo.
La regla de los tres procesos nos recuerda que la seguridad informática no termina
con la implementación de los productos o tecnología. Es una realidad que requiere
permanentemente monitoreo y mantenimiento. Esta regla fortalece la tesis de que la
seguridad requiere pensamiento y estrategia, y no solamente tecnología informática.
La regla de la acción preventiva nos alerta y concientiza que la seguridad no puede
ser exitosa si no viene acompañada de una aproximación preventiva. Sin una
adecuada formulación de acciones preventivas la organización tendrá menos
posibilidades de mantener un esquema seguro.
La regla de respuesta adecuada e inmediata nos dice que los pasos que una
organización toma cuando ha ocurrido un incidente de seguridad son tan importantes
como las acciones que tomamos para prevenir el ataque. Este regla nos recuerda que
una pobre e inadecuada respuesta a una intrusión potencialmente puede causar más
daño que si un intruso lo hubiese hecho en primer lugar.
Con estas reglas en mente y operacionalizadas en el contexto del modelo de seguridad
informática corporativa, las decisiones que se tomen responderán a un mayor nivel de
conciencia e integración de la directriz general de seguridad informática, tendrán
sentido para los usuarios finales en sus acciones diarias y orientarán los desarrollos e
implementaciones tecnológicas previstas.
Las reglas más que un conjunto de verdades estratégicas de la seguridad informática,
son un conjunto de prácticas y conceptos generalmente utilizados por las
organizaciones, pero que frecuentemente son ignorados en el momento de la
implementación de los proyectos relacionados con la seguridad de la información. Por
tanto, la motivación de este documento es cuestionar a todos aquellos involucrados en
este tema a que valoren sus prácticas actuales y busquen estrategias para repensar la
seguridad informática como concepto corporativo, articulado con las tecnologías
mismas que lo soportan.
12
Organización
os
Re
es
gu
oc
la
pr
ció
y
n
n
ció
y
Ad
iza
ap
nt
ta
ie
ció
nc
Co
n
Entrenamiento y Capacitación
Individuo Tecnología
Figura 1. Una visión sistémica de la seguridad informática
13
sustentada en prácticas de inseguridad informática propias de la dinámica de la
seguridad.
La relación I y O, denominada concientización y procesos, establece los vínculos
formales de la estrategia e importancia de la seguridad informática para la
organización. Al integrar las políticas de seguridad informática [CANO 2001] como
políticas globales de la organización y la declaración formal de la gerencia sobre la
protección de uno de sus principales activos como lo es la información, la seguridad
informática avanza en la integración formal entre el plan estratégico corporativo y la
interiorización de la seguridad informática en la organización. Cuando una
organización declara a la información como uno de sus principales activos, esta
comunicando que los individuos son los custodios formales de dichos activos y sobre
ellos la organización deposita la confianza y responsabilidad para su adecuado uso.
Esta relación le da fuerza a las otras dos, como elemento catalizador de la creación de
una organización con una mente segura, es decir, una propiedad emergente fruto de la
interrelación de las distinciones concebidas dentro de la figura 1.
En las organizaciones que no reconocen estas mínimas relaciones entre los elementos
de T, O y I, probablemente estarán más expuestos a la inseguridad informática,
abriendo la posibilidad de fallas y vulnerabilidades en mayor proporción que otras
que frecuentemente trabajan en el fortalecimiento de las relaciones expuestas en la
figura 1.
Es importante aclarar que la visión presentada, responde a una disciplina formal de la
organización de apalancar su seguridad informática en un pensamiento sistémico
(basado en una perspectiva relacional) y sistemático (basado en una secuencia de
pasos ordenados a seguir) al mismo tiempo, que por un lado mantiene una visión
global de la seguridad y por otro, ejecuta de manera particular con un proceso
ordenado que le permite conocer de primera mano su realidad particular en cada uno
de sus elementos: TOI.
14
denominaremos creatividad y curiosidad disciplinada [Adaptado de: SZULANSKI, G.
y AMIN, K. 2001]
Creatividad y Curiosidad
Educación
disciplinada
15
En cualquier diseño de aplicaciones o procesos de la organización la seguridad
informática debe hacer parte del mismo. Al igual que se requiere aprobación
de los requerimientos y condiciones funcionales para el buen funcionamiento
de las aplicaciones y procesos, los requisitos de seguridad informática también
deben ser aprobados y documentados.
Creación de concursos y actividades lúdicas sobre los fundamentos de
seguridad que se cuentan en la organización: Crucigramas, cuestionarios,
personajes, simulación de fallas, entre otras.
16
escenarios y ver cómo ellos actuarían frente a la misma. (Es posible
aprovechar estos momentos para fortalecer la cultura de prevención, los planes
de contingencia y recuperación ante desastres).
Talleres prácticos de aplicación de políticas de seguridad informática. La idea
es validar las políticas de seguridad en contextos de aplicación real:
Utilización de mecanismos de seguridad integrados para ver las relaciones
entre los mismos y hacer evidente como todos los elementos se enlazan, para
que los colaboradores se ubiquen dentro de los eslabones de la arquitectura de
seguridad.
Juegos de roles, donde los participantes se coloquen la camiseta del “Director
de Seguridad Informática” para conocer más de cerca las implicaciones de la
seguridad para la organización y cómo participan ellos en las mismas.
17
La práctica del esfuerzo común. Revisemos ideas:
Mantenga informado a todo el personal en un lenguaje claro y preciso sobre
las fallas de seguridad informática identificadas, ofreciendo guías didácticas
para que cada persona adelante las actividades necesarias para su mitigación.
El centro de soporte o help desk, debe estar atento a las preguntas o
inquietudes que sobre el particular puedan tener los colaboradores.
Promueva la formación de redes de información certificada y autorizada por la
organización sobre vulnerabilidades de seguridad y sus estrategias de
prevención y control. Así mismo, cómo notificar y actuar en el caso de un
incidente de seguridad informática.
Desarrollar conciencia de seguridad informática. Esto se traduce en mantener
un procedimiento de información y notificación ante eventos inusuales dentro
de la organización que pudiesen afectar la seguridad informática. Por ejemplo
si se recibe un correo con archivos adjuntos de un origen desconocido,
reportarlo a la cuenta de correo reporte@company.com. Luego del análisis del
mismo recibirá una respuesta sobre el mismo.
Como se puede observar en las actividades propuestas para cada una de las virtudes
de la mente segura extendida, es preciso un gran compromiso organizacional y
directivo, así como disposición e interés de los individuos de la organización, que le
permita fortalecer adecuadamente los diferentes elementos de la visión sistémica de la
seguridad. Con esta presentación de acciones y sugerencias prácticas no se pretende
agotar el funcionamiento e implementación de una mente segura, sino presentar un
espectro de análisis conceptual y organizacional que le permita al lector visualizar el
reto que exige la seguridad informática más allá de la tecnología y sus implicaciones.
Si bien el concepto de mente segura extendida es una manera holística de comprender
la seguridad informática como un ciclo permanente de aprendizaje, adaptación y
acción, sustentado en la dinámica de las relaciones previamente comentadas, presenta
limitaciones propias que deben ser consideradas para avanzar en la revisión y
actualización del mismo. Dichas limitaciones, que se presentarán a continuación
responden a la realidad de la gestión de seguridad informática corporativa, la cual es
un requisito que exige del responsable directo de la seguridad informática, elementos
prácticos para verificar el avance y madurez de la función de seguridad informática
corporativa.
18
compromisos de la organización para avanzar en la creación y evolución de una
mente segura. Sin embargo, la visión de una mente segura extendida no ofrece
elementos claros para responder a preguntas como: [GEER, D., SOO, K y JAQUITH,
A 2003]
¿Mi seguridad informática actual es mejor que el año anterior?
¿Cuál es el beneficio que estoy obteniendo de toda la inversión que se ha
efectuado en seguridad informática?
¿Cómo me puedo comparar con organizaciones semejantes a la nuestra en el
tema de seguridad informática?
Con el fin de responder a estas preguntas se requiere desarrollar métricas de gestión
de seguridad informática, que de manera complementaria alimenten los resultados
que ofrece la visión sistémica de la seguridad informática.
La gestión de la seguridad en la actualidad es un reto y desafío de las organizaciones
modernas dado que no se cuenta con un lenguaje común, diversas prácticas de
seguridad, diferentes significados alrededor de los conceptos, múltiples maneras de
recoger información sobre la efectividad de la seguridad, pocos modelos y estudios
[CAVUSOGLU, H., MISHRA, B. K. AND RAGHUNATHAN, S. 2002, CLAFLIN,
B. 2001, GEER, D. E 2001, GORDON, L. A., LOEB, M. P. y SOHAIL, T. 2001,
HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. 2001, KAROFSKY, E. 2001,
THIEME, R. 2001] en la comprensión del retorno de la inversión en seguridad
informática y una industria de seguridad informática que sugiere una competencia
marcada por la supremacía de las marcas.
Todos estos elementos sumados a la necesidad de la gerencia por conocer la respuesta
a las preguntas planteadas anteriormente, generan desconfianza y muchas dudas sobre
el uso efectivo de los recursos en el tema de seguridad informática.
En este sentido existen algunos trabajos de investigación y aplicación que entidades y
grupos de investigación internacionales han venido desarrollando buscando armonizar
las diferencias que el tema de gestión de seguridad informática sugiere.
Dentro de los algunos estudios relevantes tenemos:
19
desarrollo e implementación de métricas y como éste puede ser
utilizado para adecuar y controlar la inversión en seguridad
informática. Finalmente, el contar con un programa de métricas en
seguridad informática ofrece datos de interés para la priorización y
ubicación de recursos en seguridad informática, lo que de manera
colateral implica la simplificación de la preparación de los informes de
gestión de seguridad informática.
Como se puede observar son realmente muy pocos estudios formales [UNIVERSITY
OF TEXAS. Economics of IT Security] y detallados con los que se cuenta en el tema
de gestión de seguridad informática. Si bien muchas consultoras internacionales
cuentan con metodologías para apalancar la gestión de seguridad, éstas son de uso
restringido para sus clientes, lo cual hace que el conocimiento acumulado de su
experiencia aplicada sea particular y exclusivo.
20
REFLEXIONES FINALES
La seguridad informática como hemos revisado ha tenido una marcada influencia del
aspecto tecnológico, lo que ha hecho del tema el dominio de los especialistas de la
tecnología. Sin embargo, con el pasar del tiempo se ha venido fortaleciendo la visión
integral de la misma vinculando los procesos de seguridad más allá de las
especificaciones técnicas, desmitificando los conceptos de seguridad informática en
realidades tangibles para los usuarios finales.
Las virtudes y reglas de seguridad informática expuestas (ver conceptos básicos de la
mente segura) nos sugieren el vínculo con la tecnología informática de seguridad,
abriendo un espacio para integrar a la organización y sus procesos de negocio, y más
allá de esto, al individuo como participante protagónico en el manejo mismo de la
seguridad informática.
Los individuos como custodios naturales de la información, habían sido rezagados de
esta tendencia integradora de la seguridad, por una tradición técnica en estos temas.
Con la visión extendida de la mente segura, los individuos no sólo hacen parte de la
seguridad informática, sino que son responsables de la dinámica de las relaciones
sistémicas de la seguridad informática. En este sentido, el éxito de la seguridad
informática tendrá mucha relación con la manera como se incorpore la distinción de
seguridad en cada una de las actividades de la organización.
Por otra parte, es factor clave en el entendimiento de la seguridad informática en las
organizaciones, el desarrollo de elementos de gestión de seguridad informática. Si
bien, las organizaciones pueden incorporar una cultura de seguridad informática, es
menester del responsable directo de la seguridad evaluar, valorar e informar como se
desarrolla este avance. En este medida ser requiere la identificación de métricas
organizacionales de seguridad que valore los costos directos (ambientales de
operación, hardware, software, instalación y configuración, sobrecostos,
entrenamiento, mantenimiento) e indirectos tanto humanos como organizacionales
[REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. Cap.5 2003], con el fin de
establecer con claridad el valor agregado de la seguridad informática en la dinámica
de los negocios de la compañía.
Basado en lo revisado en este documento, la seguridad informática se transforma de
una disciplina sistemática a una disciplina sistemática-sistémica que no sólo
responde por las medidas de protección y control de la información de una
organización, sino que es la responsable por la adaptación y regulación de las
relaciones entre los elementos que la conforman (tecnología, organización e
individuo) para darle paso al surgimiento de una mente organizacional, una mente
segura que no se encuentra en los profesionales de la seguridad informática sino en
los custodios naturales de la información en las organizaciones: los individuos.
21
REFERENCIAS
22
GEER, D., SOO, K y JAQUITH, A (2003) Information Security: Why the Future
Belongs to the Quants. IEEE Security and Privacy Magazine. July/August.
GORDON, L. A., LOEB, M. P. y SOHAIL, T. (2001) A Framework for Using
Insurance for Cyber Risk Management,” Communications of the ACM. December
HANCOCK, W. y RITTINGHOUSE, J. (2003) Cybersecurity Operations Handbook.
Elsevier Digital Press.
HARRISON, M., RUZZO, W., y ULLMAN, J., (1976) Protection in Operating
Systems. Communications of the ACM, vol. 19, no. 8, pp. 461 – 471,
HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. (2001) Tangible ROI through
Secure Software Engineering. Secure Business Quarterly, Vol. 1, Iss. 2.
http://www.sbq.com/sbq/rosi/sbq_rosi_software_engineering.pdf
KARGER, P. (1988) Implementing Commercial Data Integrity with Secure
Capabilities. IEEE Symposium on Security and Privacy 1980 – 1999. pág 130-139
KAROFSKY, E. (2001) Insights into Return on Security Investment. Secure Business
Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_insight.pdf
KRAUSE, M., y TIPTON, H. (Editors) (1999) Handbook of Information Security
Management. Auerbach.
KREISSIG, G. (1980) A model to describe protection problems. IEEE Symposium on
Security and Privacy 1980 – 1999. pág 9-17
PARKER, D. (1998) Fighting Computer Crime. A new framework for protection
information. John Wiley & Sons.
PROCTOR, P. y BYRNES, F. C. (2002) The secured enterprise. Protecting your
information assets. Prentice Hall.
REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. y IRANI, Z. (2000) The
effective measurement and management of IT cost and benefits. Second Edition.
Butterworth Heinemann.
SCHETINA, E., GREEN, K., y CARLSON, J. (2002) Internet Site Security. Addison
Wesley.
SZULANSKI, G. y AMIN, K. (2001) Imaginación disciplinada: creación de la
estrategia en los entornos inciertos. En DAY, G y SCHOEMAKER, P (2001)
Gerencia de tecnologías emergentes. Wharton School of Business. Ediciones B.
Argentina S.A.
TERRY, P. y WISEMAN, S. (1989) A ’New’ Security Policy Model. IEEE
Symposium on Security and Privacy 1980 – 1999. pág 215-228
THIEME, R. (2001) What Insurance Can – and Can’t – Do for Security Risks. Secure
Business Quarterly, Vol. 1, Iss. 2.
http://www.sbq.com/sbq/rosi/sbq_rosi_insurance.pdf
23
UNIVERSITY OF TEXAS. Economics of IT Security.
http://www.utdallas.edu/~huseyin/security.html
24