El Modelo de Negocio para La Seguridad de La Información

El modelo de negocio
para la seguridad de la información
ORGANIZACIÓN
GOBERNANTE
AR
QU
A
IT
UR
EC
LT
T
CU
UR
A
PROCESO
HA
BILI
ÓN T
ICI
AC
IÓ
AR N
AP YA
PO
YO
GENTE TECNOLOGÍA
FACTORES HUMANOS
Copia personal de Andrés Alfonso Pacheco Solano (Cédula ISACA: 1412904)

TélBusinessMETROodel para InforMaCión securidad
ISACA®
Con 95.000 constituyentes en 160 países, ISACA (www.isaca.org) es un proveedor global líder de conocimiento, certificaciones, comunidad, defensa y
educación sobre aseguramiento y seguridad de sistemas de información (SI), gobierno empresarial y administración de TI, y riesgo y cumplimiento
relacionados con TI. Fundada en 1969, la ISACA independiente y sin fines de lucro organiza conferencias internacionales, publica elISACA® Diario, y
desarrolla estándares internacionales de auditoría y control de SI, que ayudan a sus integrantes a garantizar la confianza y el valor de los sistemas de
información. También avanza y da fe de las habilidades y conocimientos de TI a través del auditor de sistemas de información certificado respetado a
nivel mundialTM (CISA®), Gerente de seguridad de la información certificado® (CISM®), Certificado en el gobierno de la TI empresarial® (CGEIT®) y Certificado
en Control de Sistemas de Información y RiesgosTM (CRISCTM) designaciones. ISACA actualiza continuamente COBIT®, que ayuda a los profesionales de TI
y líderes empresariales a cumplir con sus responsabilidades de gestión y gobierno de TI, particularmente en las áreas de aseguramiento, seguridad,
riesgo y control, y entregar valor al negocio.
Descargo de responsabilidad
ISACA ha diseñado y creado El modelo de negocio para la seguridad de la información (el 'Trabajo') principalmente como un recurso educativo para los
profesionales de la seguridad. ISACA no afirma que el uso de cualquiera de las Obras garantizará un resultado exitoso. No se debe considerar que el Trabajo
incluye todos los procedimientos y pruebas de información adecuados o excluye otra información, procedimientos y pruebas que estén razonablemente dirigidos
a obtener los mismos resultados. Al determinar la idoneidad de cualquier información, procedimiento o prueba específicos, los lectores deben aplicar su propio
juicio profesional a las circunstancias de control específicas presentadas por los sistemas particulares o el entorno de tecnología de la información.
Reserva de derechos
© 2010 ISACA. Reservados todos los derechos. Ninguna parte de esta publicación puede ser utilizada, copiada, reproducida, modificada, distribuida, exhibida,
almacenada en un sistema de recuperación o transmitida de cualquier forma por cualquier medio (electrónico, mecánico, fotocopiado, grabación o de otro tipo)
sin la autorización previa por escrito de ISACA. . La reproducción y el uso de la totalidad o parte de esta publicación están permitidos únicamente para uso
académico, interno y no comercial y para trabajos de consultoría / asesoría, y debe incluir la atribución completa de la fuente del material. No se concede ningún
otro derecho o permiso con respecto a este trabajo.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE. UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Sitio web: www.isaca.org
ISBN 978-1-60420-154-3
El modelo de negocio para la seguridad de la información
Impreso en los Estados Unidos de América.
CRISC es una marca comercial / marca de servicio de ISACA. La marca se ha solicitado o registrado en países de todo el mundo.
2 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

aCONOCIMIENTOS
AReconocimientos
Autor
Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania
Equipo de desarrollo
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CITP, FBCS, FISM, MInstISP, Ravenswood Consulting Ltd., Reino Unido
Jean-Luc Allard, CISA, CISM, MISIS scri, Bélgica
Elisabeth Antonsson, CISM, Nordea Bank, Suecia Sanjay
Bahl, CISM, Microsoft Corp. Pvt. Ltd., India Krag Brotby,
CISM, CGEIT, Brotby & Associates, EE. UU.
Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT SA, Grecia Meenu
Gupta, CISA, CISM, CIPP, CISSP, Mittal Technologies, Estados Unidos
Cristina Ledesma, CISA, CISM, Citibank NA Sucursal, Uruguay
Revisores expertos
Manuel Aceves, CISA, CISM, CISSP, Cerberian Consulting, México
Sanjay Bahl, CISM, Microsoft Corp. Pvt. Ltd., India
Krag Brotby, CISM, CGEIT, Brotby & Associates, EE. UU.
Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT SA, Grecia
Meenu Gupta, CISA, CISM, CIPP, CISSP, Mittal Technologies, EE. UU.
Yves LeRoux, CISM, CA Technologies, Francia
Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE. UU.
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CITP, FBCS, FISM, MInstISP, Ravenswood Consulting Ltd., Reino Unido Vernon
Richard Poole, CISM, CGEIT, Sapphire, Reino Unido
Jo Stewart-Rattray, CISA, CISM, CGEIT, CSEPS, RSM Bird Cameron, Australia
Junta Directiva de ISACA

Emil D'Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE. UU., Presidente internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, INTRALOT SA, Grecia, Vicepresidente Ria Lucas, CISA,
CGEIT, Telstra Corp.Ltd., Australia, vicepresidente
Hitoshi Ota, CISA, CISM, CGEIT, CIA, Mizuho Corporate Bank Ltd., Japón, Vicepresidente
Jose Angel Pena Ibarra, CGEIT, Alintec SA, México, Vicepresidente
Robert E. Stroud, CGEIT, CA Technologies, EE. UU., Vicepresidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (jubilado), EE. UU., Vicepresidente
Rolf M. von Roessing, CISA, CISM, CGEIT, Forfa AG, Alemania, Vicepresidente
Lynn C. Lawton, CISA, FBCS CITP, FCA, FIIA, KPMG Ltd., Federación de Rusia, ex presidente internacional Everett
C. Johnson Jr., CPA, Deloitte & Touche LLP (jubilado), EE. UU., Ex presidente internacional Gregory T. Grocholski ,
CISA, The Dow Chemical Co., EE. UU., Director
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Gobierno de Queensland, Australia, Director Howard
Nicholson, CISA, CGEIT, CRISC, Ciudad de Salisbury, Australia, Director
Jeff Spivey, CPP, PSP, Gestión de riesgos de seguridad, EE. UU., Fideicomisario de ITGI
Comité Marco
Patrick Stachtchenko, CISA, CGEIT, CA, Stachtchenko & Associates SAS, Francia, Presidente
Steven A. Babb, CGEIT, KPMG, Reino Unido
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapur
Sergio Fleginsky, CISA, Akzonobel, Uruguay
John W. Lainhart IV, CISA, CISM, CGEIT, IBM Global Business Services, EE. UU.
Mario C. Micallef, CGEIT, CPAA, FIA, Ganado & Associates, Malta
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CITP, FBCS, FISM, MInstISP, Ravenswood Consulting Ltd., Reino Unido
Robert G. Parker, CISA, CA, CMC, FCA, Canadá
Jo Stewart-Rattray, CISA, CISM, CGEIT, CSEPS, RSM Bird Cameron, Australia Robert
E. Stroud, CGEIT, CA Technologies, EE. UU.
© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 3

ACONOCIMIENTOS (cont.)
Reconocimiento especial
A los siguientes miembros del Comité de Gestión de Seguridad 2008-2009 que iniciaron el proyecto y lo llevaron a una
conclusión exitosa:
Jo Stewart-Rattray, CISA, CISM, CGEIT, CSEPS, RSM Bird Cameron, Australia Manuel
Aceves, CISA, CISM, CISSP, Cerberian Consulting, México Kent Anderson, CISM,
Encurve LLC, EE. UU.
Emil D'Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EE. UU. Yves
LeRoux, CISM, CA Technologies, Francia
Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EE. UU.
Kyeong Hee-Oh, CISA, CISM, Fullbitsoft, Corea
Vernon Richard Poole, CISM, CGEIT, Sapphire, Reino Unido
En reconocimiento
El modelo de negocio para la seguridad de la información se basa en una investigación realizada por el Instituto de Protección de
Infraestructura de Información Crítica de la Escuela de Negocios Marshall de la Universidad del Sur de California. ISACA desea reconocer la
contribución a la comunidad de seguridad de la información que hicieron Charles P. Meister, Morley Winograd, Phil Cashia, Dr. Ann
Majchrzak, Dr. Ian Mitroff, Prof.Dan O'Leary, Dr. Laree Kiely, Terry Benzel , Steve Raynor y Bill Belgard, los autores del Modelo de gestión de
seguridad sistémica.
Afiliados y patrocinadores de ISACA / IT Governance Institute

Instituto Americano de Contadores Públicos Certificados
ASIS International
El Centro de Seguridad en Internet
Asociación del Commonwealth para el Gobierno Corporativo Inc.
Informe FIDA
Foro de seguridad de la información Asociación de
seguridad de sistemas de información
Institut de la Gouvernance des Systèmes d'Information
Institute of Management Accountants Inc.
Capítulos de ISACA
ITGI Japón
Universidad de Norwich
Solvay Brussels School of Economics and Management
University of Antwerp Management School
Aldion Consulting Pte. Ltd.
Analytix Holdings Pty. Ltd.
BWise BV
Hewlett Packard
ITpreneurs Nederlands BV
Phoenix Business and Systems Process Inc.
Proyecto Rx Inc.
SOAProjects Inc.
Symantec Corp.
TruArx Inc.
Wolcott Group LLC
Soluciones de TI World Pass

TaBle deConTenTs
tCapaz de ContentS
Resumen ejecutivo ................................................ .................................................. .................................................. ...................................... 7
1. Introducción ............................................... .................................................. .................................................. ................................................ 9

Modelos ................................................. .................................................. .................................................. .................................................. .10
Marcos ................................................. .................................................. .................................................. .......................................... 10
Estándares ................................................. .................................................. .................................................. ............................................... 11
Combinando modelos, marcos y estándares ............................................ .................................................. ...................................... 11
Estado de seguridad ............................................... .................................................. .................................................. ..................................... 11
Resultados de la seguridad de la información .............................................. .................................................. .................................................. ....... 12
2. Modelo de negocio para la seguridad de la información ........................................... .................................................. ................................................. 13

Elementos BMIS ................................................ .................................................. .................................................. ..................................... 14
Organización................................................. .................................................. .................................................. ................................... 14
Proceso................................................. .................................................. .................................................. ............................................ 17
Tecnología ................................................. .................................................. .................................................. .................................... 20
Gente................................................. .................................................. .................................................. ............................................. 23
Interconexiones dinámicas BMIS ............................................... .................................................. .................................................. ......... 25
Gobierno ................................................. .................................................. .................................................. ...................................... 25
Cultura................................................. .................................................. .................................................. ............................................ 27
Arquitectura ................................................. .................................................. .................................................. ................................... 32
Habilitación y apoyo ............................................... .................................................. .................................................. .................... 35
Emergencia ................................................. .................................................. .................................................. ..................................... 41
Factores humanos ................................................ .................................................. .................................................. ............................... 43
3. Usando BMIS .............................................. .................................................. .................................................. ................................................ 47

En balance: análisis del programa de seguridad existente .......................................... .................................................. .................... 47
Leyes y regulaciones............................................... .................................................. .................................................. ..................... 48
Gobernanza empresarial ................................................ .................................................. .................................................. ................... 49
Cumplimiento de seguridad ................................................ .................................................. .................................................. ...................... 49
Otros componentes del programa de seguridad ............................................ .................................................. ................................ 49
Poblando BMIS: Medidas y soluciones de seguridad existentes .......................................... .................................................. ................. 50
Reuniendo información ................................................ .................................................. .................................................. ................... 50
Integración de soluciones individuales ............................................... .................................................. .................................................. ... 50
Integración de soluciones gestionadas ............................................... .................................................. .................................................. ...... 54
Alineación de estándares y marcos con BMIS ............................................ .................................................. ........................................ 55
Gestión de la seguridad de la información ............................................... .................................................. .................................................. 55
Gestión general de TI ............................................... .................................................. .................................................. ........................ 57
Diagnóstico BMIS: identificación de fortalezas y debilidades ........................................... .................................................. .................... 57
Análisis situacional ................................................ .................................................. .................................................. ....................... 58
Análisis de raíz de la causa.............................................. .................................................. .................................................. ......................... 59
Poniendo BMIS en movimiento: viaje de mejora ........................................... .................................................. ...................................... 62
Conversión de procesos de seguridad en subsistemas de seguridad ............................................ .................................................. ................ 63
Acciones y pasos de mejora .............................................. .................................................. .................................................. ..... 64
Aprovechamiento de la dinámica del sistema ............................................... .................................................. .................................................. ....... 67
Conclusión ................................................. .................................................. .................................................. ............................................ 69
Publicaciones de orientación profesional de ISACA .............................................. .................................................. .............................................. 71

Página dejada en blanco intencionalmente

mixecuTivo suMMario
mixeCutIve SummARia
La seguridad de la información se ha convertido en una función empresarial fundamental. El éxito de una empresa está estrechamente relacionado con su capacidad para
gestionar los riesgos de forma adecuada. La protección de información valiosa y sensible se ha vuelto esencial para la sustentabilidad empresarial. La gestión eficaz de los
riesgos y exposiciones de la información, así como las oportunidades, puede afectar directamente la rentabilidad y el valor general de una empresa.
Durante demasiado tiempo, la seguridad de la información ha estado operando en modo reactivo. Los profesionales de la seguridad han estado reaccionando ante
amenazas, riesgos, legislación, infracciones, tecnologías emergentes y problemas culturales y se han encontrado en la lamentable situación de pertenecer a una profesión
relativamente joven que carece tanto de investigación como de recursos para ayudar a mejorar los programas de seguridad. Estos profesionales se han visto obligados a
cumplir con estándares y marcos parciales para abordar las preocupaciones relacionadas con el cumplimiento, la privacidad y el riesgo, dejando poco tiempo para la creación
de valor y la innovación.
Este modo reaccionario de gestionar la seguridad ha resultado ineficaz. El clima de seguridad de la información es casi el mismo que hace 10 años. Si bien los
controles de seguridad han aumentado, también lo ha hecho el número de infracciones y sus costos asociados. El Ponemon Institute emite una encuesta
anual sobre el costo de una violación de datos, que muestra cómo los costos han aumentado con el tiempo.1 (Figura 1).
Figura 1: El costo creciente de las infracciones de seguridad
$ 250
$ 204
$ 197 $ 202
$ 200
$ 182
Costo por registro (US $)
$ 150
$ 138
$ 100
$ 50
PS
AF 2005 Año fiscal 2006 AF 2007 AF 2008 AF 2009
Fuente: Ponemon Institute, 'Estudio anual de 2009: costo de una filtración de datos: comprensión del impacto financiero, rotación de clientes y soluciones preventivas', figura 1: Costo promedio por
registro de una filtración de datos 2005-2009, EE. UU., 2010, http://www.ponemon.org/local/upload/fckjail/generalcontent/18/file/US_Ponemon_CODB_09_012209_sec.pdf
A medida que los profesionales de la seguridad luchan por equilibrar la protección con la asunción de riesgos empresariales en un panorama complejo y en
evolución, ha quedado claro que el método actual de control de riesgos ha demostrado ser inadecuado y existe una brecha entre la gestión de los activos de
información y las personas que los utilizan. Los marcos de seguridad actuales no abordan cuestiones como la cultura, los factores humanos y el cambio rápido.
Los profesionales de la seguridad necesitan un método más eficaz para gestionar los activos de información empresarial.
La seguridad de la información se ha convertido en la unidad de negocio responsable del activo más importante que posee una empresa: su información
corporativa. Si bien la transmisión, integridad y disponibilidad de esa información son fundamentales para realizar negocios globales, su protección es
igualmente importante.
El Modelo de Negocio para la Seguridad de la Información (BMIS) presenta una solución holística y dinámica para diseñar, implementar y
gestionar la seguridad de la información. Como alternativa a la aplicación de controles a los síntomas de
seguridad aparentes en un patrón de causa y efecto, BMIS examina todo el sistema empresarial, lo que
permite a la administración abordar las verdaderas fuentes de los problemas al tiempo que maximiza los
elementos del sistema que pueden beneficiar más a la empresa. .
El Modelo de Negocio para la Seguridad de
Al estudiar todos los factores que introducen incertidumbre y correlacionar todos los factores para comprender
la Información (BMIS) presenta una
las necesidades organizativas reales, BMIS complementa cualquier marco o estándar ya establecido. Ayudará a
las empresas a gestionar eficazmente el riesgo de la información para minimizar las amenazas y garantizar la solución holística y dinámica para diseñar,
confidencialidad, integridad y disponibilidad de los activos de información, al tiempo que aprovecha los activos de
implementar y administrar
información de la empresa para crear valor.
seguridad de información.
1 Ponemon Institute, 'Cost of a Data Breach', EE. UU., 2010, www.ponemon.org/data-security


1. yonTroducCión
1. YontRoduCcIón
En enero de 2009, ISACA presentó a la comunidad de seguridad el Modelo de negocio para la seguridad de la información. La publicación2
ofreció a los profesionales de la seguridad una mirada a un nuevo enfoque para la gestión eficaz de la seguridad de la información. BMIS se centra en el entorno
empresarial en el que opera la seguridad de la información, entre otros procesos empresariales. Este enfoque particular proporciona una visión más amplia de
los procesos y sistemas que impulsan el valor dentro de la empresa que impactan o se ven afectados por la seguridad de la información.
Como profesión relativamente joven, la seguridad de la información ha tenido dificultades para cumplir los objetivos comerciales en un entorno de riesgo que
cambia rápidamente. Aunque los profesionales de la seguridad han logrado mantener a raya muchos ataques potenciales, ha habido varias brechas de seguridad
costosas y bien publicitadas que han hecho que algunos se pregunten qué tan efectivos son los programas de seguridad de la información. Desde una perspectiva
empresarial, los objetivos principales de cualquier empresa suelen estar muy alejados del mundo técnico de la TI y la seguridad de la información. Para cerrar la
brecha entre lo que hace la empresa y cómo esto está respaldado por una seguridad sólida, BMIS realinea el contenido técnico con el pensamiento empresarial y
un punto de vista estratégico.
Para ser justos, los profesionales de la seguridad de la información han realizado un trabajo encomiable dados los pocos recursos disponibles. Los presupuestos
reducidos, el personal limitado y el acceso restringido al soporte ejecutivo son obstáculos comunes que enfrentan los profesionales de seguridad de la
información al tratar de proteger los activos de información, minimizar los riesgos y brindar valor al negocio. Agregue a esto un entorno regulatorio en constante
cambio y nuevos riesgos que surgen constantemente, y es fácil ver por qué la seguridad de la información ha luchado por sobrevivir como función. Estos
obstáculos en el trabajo diario de seguridad a menudo surgen de un malentendido fundamental. Aunque los líderes organizacionales son conscientes de los
riesgos y están dispuestos a abordarlos de manera práctica, la complejidad de la seguridad de la información requiere habilidades y conocimientos específicos.
Más a menudo que no, A los expertos en seguridad les resulta difícil articular el valor que la seguridad de la información puede aportar al negocio al garantizar
que los recursos de información no solo estén protegidos de aquellos que no deberían tener acceso a ellos, sino también que la información esté disponible y sea
precisa para aquellos que deberían tener acceso. . BMIS proporciona el marco y la mentalidad para estructurar las comunicaciones entre la alta dirección y los
profesionales de seguridad.
La conciencia de la necesidad de seguridad de la información ha aumentado notablemente, posiblemente debido al aumento tanto de la regulación como de la
actividad maliciosa. Como resultado, algunas empresas han creado programas de seguridad, colocando al personal de TI (algunos de los cuales pueden haber
tenido poca experiencia en seguridad) a cargo de la nueva iniciativa. En otras empresas, se ha contratado a profesionales de la seguridad específicamente para
resolver problemas existentes. Otras empresas han recurrido a consultores externos para diseñar, implementar y mejorar sus programas de seguridad de la
información. Estas iniciativas, aunque positivas en sí mismas, necesitan un marco más amplio para alinearlas con los objetivos comerciales. Tanto el gasto en
seguridad como el trabajo en medidas de seguridad específicas requieren un caso comercial claro que se pueda fundamentar en cualquier momento ante la alta
dirección.
Hasta ahora no ha existido un modelo holístico o dinámico para que los gerentes de seguridad lo utilicen como guía. Hay muchos estándares que se pueden
usar para realizar evaluaciones comparativas y proporcionar orientación, y hay muchos marcos que pueden servir como guías útiles para la implementación,
pero no ha habido un modelo general que pudiera existir en cualquier empresa, independientemente de la ubicación geográfica, la industria, tamaño,
regulación o protocolo existente.
Muchas personas pueden pensar que están en el camino correcto porque han alineado su programa con un estándar o marco existente. Si bien estas
vías pueden parecer llevar al profesional de la seguridad en la dirección correcta, falta un componente esencial. Los marcos y estándares han
ayudado a abordar necesidades específicas, pero no han proporcionado una solución holística que examine toda la empresa y estudie cómo la misión
de la organización afecta el programa de seguridad yviceversa. Para comprender el panorama general, los gerentes de seguridad de la información
deben tener una visión más amplia.
BMIS llena este vacío y aborda el programa de seguridad a nivel estratégico o empresarial. El modelo permite a los gerentes de seguridad
para obtener una visión amplia de lo que está sucediendo en la empresa, permitiéndoles tratar mejor el riesgo de la información mientras ayuda a la alta dirección a
alcanzar sus objetivos. Al observar el programa de seguridad desde una perspectiva de sistemas, BMIS proporciona un medio para que los profesionales de la
seguridad consideren áreas que pueden no haberse tenido en cuenta en los estándares existentes. BMIS también proporciona un mecanismo para que los
profesionales de la seguridad internalicen el hecho de que surgen nuevas amenazas y nuevos ataques con regularidad.
Para comprender el modelo, es importante distinguir entre modelos, estándares y marcos. Si bien BMIS puede ayudar a superar algunas de las
dificultades conocidas en la seguridad de la información, es principalmente un modelo que debe estar respaldado por estándares y marcos
adicionales.
2 ISACA, Introducción al modelo de negocio para la seguridad de la información, Estados Unidos, 2009

Modelos
Si bien existen muchas definiciones para la palabra "modelo", todas describen la imitación o la representación de una forma u otra. Una definición que se usa
a menudo para los modelos teóricos es "Una descripción esquemática de un sistema, teoría o fenómeno que explica sus propiedades conocidas o inferidas y
puede usarse para un estudio más profundo de sus características".3 Se puede pensar en un modelo como una descripción teórica de la forma en que
funciona un sistema. Sin embargo, a menudo es necesario simplificarlo hasta cierto punto para que sea útil en la práctica.
En general, los modelos deben ser flexibles para satisfacer las necesidades del mundo empresarial. Deben probarse a veces para asegurarse
de que aún sean aplicables y se ajusten al propósito previsto, y deben incorporar cambios en los sistemas y las empresas en las que existen. Es
importante recordar que los modelos son descriptivos, pero no normativos. Un modelo de seguridad global como BMIS debe, por lo tanto, ser
la base de todos los estándares y marcos aplicados en el campo de la seguridad de la información. Al mismo tiempo, BMIS debe poder
adaptarse a los cambios rápidamente y resaltar las consecuencias para la empresa.
Las empresas suelen utilizar modelos para fomentar la innovación y maximizar el valor generado a través de la innovación o el cambio. Se pueden
utilizar dentro de una empresa para traducir la estrategia y la misión en conceptos y pasos que se aplican a procesos o entidades organizativas. Los
modelos pueden ayudar a definir un objetivo y crear el plan de cómo llegar allí. Empresas como IBM, Xerox y Fujitsu han utilizado modelos durante
años para mejorar las cadenas de valor. De hecho, en un plan de negocios, el modelo puede ser más rentable para la empresa que la tecnología en sí.
Un ejemplo es el plan operativo de la copiadora Xerox 914. Xerox había creado una nueva tecnología que era superior a otros productos de copia, pero
era de seis a siete veces más cara que la competencia. Después de ser rechazado por grandes empresas por asociaciones de marketing, Xerox decidió
comercializar la tecnología en sí misma con un nuevo modelo comercial. En lugar de vender productos
y confiando en el servicio para obtener ganancias, Xerox arrendó el equipo a los clientes y luego cobró
una tarifa por copia por cualquier cosa que supere las 2000 copias. Debido a que la calidad que la
BMIS crea oportunidades para que el tecnología Xerox trajo al campo fue tan superior a la de su competencia, los clientes aumentaron la
cantidad de copias que hicieron, lo que resultó en una tasa de crecimiento anual de 12 años del 41 por
programa de seguridad de la información se ciento para la empresa.
establezca como un habilitador comercial

Así como el modelo comercial impulsó a Xerox al extraer valor económico para la empresa
sólido al considerar la seguridad a través de tecnología innovadora, BMIS crea oportunidades para que el programa de
impacto en el negocio. seguridad de la información se establezca como un habilitador comercial sólido al

considerar el impacto de la seguridad en el negocio.
Frameworks
Los marcos proporcionan estructura. Pueden considerarse como el sistema esquelético sobre el que se puede construir el cuerpo de un programa
de sonido. Generalmente, los marcos son de naturaleza operativa y proporcionan una descripción detallada de cómo implementar, crear o
administrar un programa o proceso. Los marcos suelen estar basados en principios y abiertos a la mejora continua. Como resultado, los marcos
generalmente se basan en estándares subsidiarios para 'hacer que suceda', y se complementan aún más con guías de implementación y otros
documentos detallados.
Los marcos son herramientas indispensables que pueden ayudar a los gerentes de seguridad a desarrollar e implementar un programa de seguridad
sólido y garantizar su éxito continuo a través del monitoreo. Los marcos son muy detallados y proporcionan acciones recomendadas específicas que
han demostrado ser útiles para muchos gerentes de seguridad que crean un programa. Aunque no existen marcos dedicados a la seguridad de la
información en este momento, existen muchos marcos de riesgo que pueden ser útiles. OCTAVA®4 es un marco de riesgo. COBIT5 y el Control interno:
marco integrado6 son ejemplos de marcos poderosos que cubren el gobierno y la gestión de TI que pueden ser de ayuda al crear y mantener un
programa de seguridad. ITIL®7 también define un proceso de gestión de seguridad basado en el código de práctica definido en ISO 27002. Además, el
marco de riesgo de TI de ISACA8 es un marco integral para la gestión de riesgos relacionados con TI. A diferencia de los modelos discutidos
anteriormente, los marcos suelen ser normativos más que descriptivos.
3 Diccionario de la herencia americana, Estados Unidos, 2003

4 Evaluación de vulnerabilidades, activos y amenazas operativamente críticasSM es un conjunto de herramientas, técnicas y métodos para la evaluación estratégica y la planificación de la seguridad de la
información basada en riesgos, desarrollado y mantenido por el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, EE. UU.
5 COBIT 4.1 es la versión actual desarrollada y mantenida por ISACA, EE. UU.
6 Desarrollado y mantenido por el Comité de Organizaciones Patrocinadoras (COSO), EE. UU.
7 Biblioteca de Infraestructura y Tecnología de la Información, desarrollada y mantenida por la Oficina de Comercio Gubernamental (OGC), Reino Unido
8 ISACA, El marco de riesgo de TI, Estados Unidos, 2009

1. yonTroducCión
Estándares
Según el Instituto Británico de Estándares (BSI), un estándar es una 'forma repetible y acordada de hacer algo'. Es un documento publicado que
contiene especificaciones técnicas u otros criterios precisos diseñados para ser utilizados de manera coherente como regla, directriz o definición ”.9
Una definición adicional indica que una norma es una base de comparación; un punto de referencia contra el cual se pueden evaluar otras cosas.10
Estas definiciones se alinean con la forma en que se ven los estándares en la comunidad de seguridad de la información: proporcionar a los profesionales de
seguridad de la información un sentido de dirección y una forma de evaluar el progreso de una empresa hacia las mejores prácticas.
Los estándares más comúnmente utilizados en el campo de la seguridad de la información incluyen la Organización Internacional de Normalización (ISO) 27001:
2005 y la serie más amplia ISO 27000, la Publicación Especial (SP) 800-53 del Instituto Nacional de Normas y Tecnología (NIST) y la Tarjeta de Pago. Estándar de
seguridad de datos de la industria (PCI DSS). Este último es un ejemplo de seguridad de la información específica necesaria para algunos de los procesos que
puede estar utilizando una organización de servicios financieros. Sin embargo, a menudo requiere más contexto para permitir e informar una implementación
integrada y rentable de PCI DSS. BMIS puede ayudar a proporcionar el contexto sistémico en el que operan los procesos de tarjetas de pago y las consecuencias
para las medidas de seguridad de la información que se toman para abordar el estándar.
Combinando modelos, marcos y estándares
Al observar la distinción entre modelos, estándares y marcos, queda claro cuál de los tres elementos de seguridad de la información
ha faltado. Los profesionales de la seguridad han estado tratando durante mucho tiempo de alinear las actividades del programa con
múltiples estándares, regulaciones y marcos, y les ha faltado un modelo general que los ayude a mantener la información protegida.
¿Por qué se necesita un modelo? Incluso con el uso de marcos y estándares, los profesionales de seguridad enfrentan desafíos tales
como la comprensión y el compromiso de la alta gerencia con las iniciativas de seguridad de la información, la participación de la
seguridad de la información en la planificación previa a la implementación de nuevas tecnologías, la integración entre la seguridad
empresarial y de la información, la alineación de seguridad de la información con los objetivos de la empresa,
BMIS aborda estos desafíos ofreciendo una forma para que las empresas sinteticen los marcos y estándares que están utilizando y un modelo formal
que pueden seguir para crear un programa holístico de seguridad de la información que hace más por la empresa que los enfoques tradicionales.
Estado de seguridad
Los cambios en la tecnología, las redes mundiales y el uso generalizado de la tecnología de la información han elevado la necesidad de una gestión eficaz de los
riesgos de la información. Mientras las empresas luchan por seguir siendo rentables, los ejecutivos han reconocido que las brechas en la seguridad de la
información pueden ser una seria amenaza para la marca y la imagen de la empresa. Los profesionales de la seguridad de la información se encuentran en una
situación única: se han convertido en responsables de uno de los activos más importantes de la empresa y pueden demostrar valor a la empresa alineando el
programa de seguridad con los objetivos empresariales y gestionando el riesgo de los activos de información.
En los últimos 10 años, han ocurrido numerosos problemas que afectan la seguridad de la información. Entre ellas se encuentran regulaciones como Basilea II, la Ley de
Portabilidad y Responsabilidad de Seguros de Salud de los Estados Unidos (HIPAA) y la Ley Sarbanes-Oxley de los Estados Unidos; aumento de las amenazas internas;
tecnologías emergentes; y mayores amenazas externas. En respuesta, la protección de la información no ha mejorado, al menos estadísticamente hablando. En 2005, un
grupo de personas comenzó a recopilar datos sobre violaciones de seguridad en los Estados Unidos y a publicarlos en línea en
www.privacyrights.org. Con pocas excepciones, las estadísticas demuestran un patrón alarmante de mayor pérdida de datos. Cada año, desde 2005
hasta 2008, el número de violaciones de datos aumentó: 157 en 2005, 321 en 2006, 446 en 2007 y 656 en 2008.11 El costo en el que están incurriendo
las empresas debido a estas infracciones también está aumentando.
Como se menciona en el Resumen Ejecutivo y en Figura 1, el Instituto Ponemon realiza un estudio anual sobre el costo de las brechas de seguridad. El costo ha
aumentado constantemente durante los últimos cinco años. En 2005, el estudio reveló que el costo promedio (costos directos e indirectos) para una empresa
era de aproximadamente US $ 138 por incidente. Los resultados de 2010 muestran que en 2009 ese costo había aumentado a aproximadamente 204 dólares
EE.UU. por incidente.12
Este aumento tanto en el costo como en la frecuencia de las infracciones es significativo porque, durante ese mismo período, la seguridad de la
información ha experimentado avances importantes. Tecnologías como firewalls, sistemas de detección de intrusiones (IDS), prevención de intrusiones
sistemas (IPS), prevención de fugas de datos, control de punto final, enrutadores, conmutadores y otros componentes como identidad y acceso
9 Instituto Británico de Estándares, ¿Qué es un estándar? Reino Unido, 2010

10 Servicio de Estadística del Gobierno, Orientación para estadísticos nacionales: calidad, métodos y armonización, Reino Unido, 2009
11 Cámara de compensación de derechos de privacidad, EE. UU., 2009
12 Instituto Ponemon, op. cit.

gestión (IAM) se han creado o mejorado para permitir una mejor seguridad. La legislación ha aumentado exponencialmente, llamando la atención
sobre los activos de información. La delincuencia, el terrorismo y los desastres naturales han puesto de relieve la necesidad de mejorar la protección de
la información. La poderosa combinación de innovación técnica, mayor conciencia de los ejecutivos y mayores recursos ha ido acompañada de mayores
amenazas, riesgos y brechas exitosas. La seguridad simplemente no ha mostrado la mejora que se esperaría que se correlacione con el crecimiento que
ha experimentado la profesión.
Uno pensaría que, con la introducción de tecnología de seguridad avanzada, un mayor enfoque regulatorio y los incentivos para que las empresas inviertan en la protección de la información, los incidentes de seguridad serían
raros. Sin embargo, lo cierto es que incluso con los avances que se están realizando, siguen ocurriendo incidentes de seguridad. La información privada todavía está comprometida. Los incidentes internos y el fraude se
informan con demasiada frecuencia. ¿Por qué la seguridad de la información no mejora a pasos agigantados? Una respuesta es que los profesionales de la seguridad de la información continúan reaccionando a los problemas
dentro de la empresa en lugar de adoptar una postura proactiva. Esta lucha constante contra incendios deja poco tiempo para la innovación, el pensamiento estratégico y la planificación. Los profesionales de la seguridad
vuelven a aplicar controles a los problemas a medida que surgen, a menudo con una dependencia excesiva de la tecnología. Esto a menudo va acompañado de una falta de datos históricos, por lo que los problemas continúan
ocurriendo, a pesar de que se han "solucionado" en algún momento anterior. Otra respuesta es que los ataques, el comportamiento negligente y el error humano se han vuelto más frecuentes, dado el mayor uso de TI como
forma de hacer negocios. Una tercera respuesta es que el uso de TI en la vida cotidiana se ha vuelto omnipresente. La mayoría de nuestras actividades diarias, desde la banca desde casa hasta pedir una pizza, se realizan en
línea. Naturalmente, esto crea muchas nuevas amenazas y desafíos de seguridad. Una tercera respuesta es que el uso de TI en la vida cotidiana se ha vuelto omnipresente. La mayoría de nuestras actividades diarias, desde la
banca desde casa hasta pedir una pizza, se realizan en línea. Naturalmente, esto crea muchas nuevas amenazas y desafíos de seguridad. Una tercera respuesta es que el uso de TI en la vida cotidiana se ha vuelto omnipresente.
La mayoría de nuestras actividades diarias, desde la banca desde casa hasta pedir una pizza, se realizan en línea. Naturalmente, esto crea muchas nuevas amenazas y desafíos de seguridad.
Además, muchas culturas empresariales no han aceptado la seguridad de la información y los gerentes
Cuando la gestión de riesgos de la información de seguridad de la información continúan luchando por demostrar valor. Cuando la gestión de riesgos de
no está integrada en el negocio, los silos la información no está integrada en el negocio, los silos organizacionales pueden reducir las
oportunidades de soluciones estratégicas. Se debe implementar un enfoque holístico basado en el riesgo
organizacionales pueden reducir las para administrar los activos de información. Los profesionales de la seguridad de la información deben
oportunidades de soluciones estratégicas. observar los sistemas empresariales y desarrollar soluciones que creen oportunidades y minimicen el
riesgo.
Resultados de la seguridad de la información
La seguridad de la información debe ser muchas cosas para la empresa. Es el guardián de los activos de información de la empresa. Eso exige que el
programa de seguridad de la información proteja los datos de la organización y, al mismo tiempo, permita a la empresa perseguir sus objetivos
comerciales y tolerar un nivel aceptable de riesgo al hacerlo.
Esta tensión entre el riesgo empresarial y la protección puede ser difícil de gestionar, pero es una parte fundamental del trabajo de un profesional de la
seguridad. Brindar información a quienes deberían tenerla es tan importante como protegerla de quienes no deberían tenerla. La seguridad debe
habilitar la empresa y respaldar sus objetivos en lugar de convertirse en autoservicio.
Desde la perspectiva de la gobernanza, hay seis resultados principales que el programa de seguridad debería lograr. En su publicación sobre
gobernanza de la seguridad de la información,13 ISACA definió estos resultados como:
• Alineación estratégica
• Gestión de riesgos
• Entrega de valor
• Administracion de recursos
• Gestión del rendimiento
• Integración del proceso de aseguramiento
Hay una serie de indicadores para la integración de diversas funciones relacionadas con la seguridad. Y lo que es más importante, no debería haber brechas en el
nivel de protección de los activos de información. Deben minimizarse las superposiciones en las áreas de planificación o gestión de la seguridad. Otro indicador es
el nivel de integración de las actividades de aseguramiento de la información con la seguridad. Los roles y responsabilidades deben estar claramente definidos
para funciones específicas. Esto incluye las relaciones entre varios proveedores internos y externos de aseguramiento de la información. Todas las funciones de
aseguramiento deben identificarse y considerarse en la estrategia organizacional general.14
13 ISACA, Gobernanza de la seguridad de la información: orientación para los administradores de seguridad 2008, EE. UU.
14 Ibídem.

2. BusinessMETROodel para InforMaCión securidad
2. bUSO metroodel para InfoRmAcIón SeCuRidad

BMIS es principalmente un modelo tridimensional. Consta de cuatro elementos y seis interconexiones dinámicas (DI). El modelo se muestra como una
pirámide enFigura 2, pero puede girar o distorsionarse según el punto de vista del observador. Como regla general, todas las partes de BMIS
interactúan entre sí. Los elementos están vinculados entre sí a través de las DI. Si se cambia cualquier parte del modelo, también cambiarán otras
partes. En un universo de seguridad de la información completo y bien administrado, se considera que el modelo está en equilibrio. Si se cambian
partes del modelo, o si persisten las debilidades de seguridad, el equilibrio del modelo se distorsiona. Las interdependencias
entre las partes de BMIS son el resultado del enfoque sistémico general.
Figura 2: descripción general del modelo comercial para la seguridad de la información
ORGANIZACIÓN
GOBERNANTE
AR
QU
RA
IT
TU
EC
L
TU
CU
RA
PROCESO
HA
BIL
I ÓN ITA
CIÓ
A RIC NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Fuente: Adaptado de The University of Southern California, Marshall School of Business, Institute for Critical Information Infrastructure Protection, EE. UU.
El modelo aborda los tres elementos tradicionales considerados en TI (Personas, Procesos y Tecnología) y agrega un cuarto elemento crítico
(Organización). En términos del programa de seguridad de la información, la flexibilidad y la influencia de los elementos y las DI varían. Algunos
elementos son comparativamente inactivos, pero siempre presentes, como la forma general y el diseño de la empresa. Está ahí, pero debería verse
como un límite para las iniciativas de gestión de la seguridad en lugar de una influencia activa y continua. Asimismo, las personas son un elemento
importante, pero no cambia con el tiempo. La naturaleza humana persistirá, y solo a través del cambio cultural los comportamientos se adaptarán a lo
que el programa de seguridad pretende lograr.
Los DI son:
• Cultura
• Gobernando
• Arquitectura
• Emergencia
• Habilitación y apoyo
• Factores humanos
Para obtener el valor máximo de este modelo, es importante comprender que estos DI pueden verse afectados directa o indirectamente por cambios
impuestos en cualquiera de los otros componentes dentro del modelo, no solo en los dos elementos en cada extremo. Las descripciones de las
interconexiones específicas en esta publicación reconocen este hecho y brindan ejemplos de cómo los cambios en otros componentes del modelo
pueden afectarlos.

Elementos BMIS
Organización
El elemento Organización, que se muestra en figura 3, es un componente importante de BMIS. Cabe señalar que el diseño general de la empresa es
una parte de este elemento, mientras que la estrategia es un requisito previo general que influye en el elemento de Organización. Muchos enfoques
tradicionales de la seguridad de la información se centran en los puntos de vista de la seguridad de las personas, los procesos y la tecnología, pero no
examinan la empresa en su conjunto. Cubren aspectos específicos de las dificultades y problemas observados, sin incluir otros aspectos de la empresa
en general que puedan haber contribuido a estas observaciones. Estos enfoques aislados a menudo se centran en la tecnología o los procesos, pero sin
una comprensión de las fuerzas circundantes que podrían neutralizar el esfuerzo. BMIS ofrece una visión de cómo el diseño y la estrategia de la
empresa afectan a las personas, los procesos y las tecnologías, lo que genera riesgos adicionales. oportunidades y áreas de mejora. Además, establece
un vínculo claro entre las medidas de seguridad tradicionales y la empresa, incluida su influencia en
términos de diseño y estrategia.
Figura 3 — Elemento de organización en BMIS
ORGANIZACIÓN
Gobernante
Ar
qu
ra
ite
ltu
ct
Cu
ur
a
PROCESO
Ha
n b
ió Ap ilita
ic o ry
ar yo
Ap
GENTE Factores humanos TECNOLOGÍA
BMIS acepta la definición de Organización como una red de personas que interactúan, utilizando procesos para canalizar esta interacción. Dentro del
círculo principal de Organización del modelo, hay empleados y otros asociados permanentes. BMIS también se vincula con socios externos,
proveedores externos, consultores, clientes y otras partes interesadas. Todas estas relaciones internas y externas preparan el escenario para la
efectividad operativa y, en última instancia, el éxito y la sostenibilidad de la empresa.
En el nivel más alto, la perspectiva adoptada por la alta dirección es intuitivamente sistémica. La organización se ve como un conjunto de
componentes que apoya un conjunto de objetivos comunes. Estos, a su vez, son formulados, revisados y comunicados por el nivel
organizacional más alto. En los niveles inferiores de la jerarquía organizativa, esta perspectiva holística ya no es un hecho. Las divisiones,
departamentos u otros silos a menudo impiden que los gerentes y profesionales vean el panorama general, y se pierde el punto de vista
sistémico. Como parte del elemento de organización de BMIS, el programa de seguridad debe verse como un centro de valor porque permite
que la empresa cumpla sus objetivos. El cumplimiento, la responsabilidad financiera y las cuestiones legales son factores importantes que
influyen en la empresa. Sin embargo,
A través de la estrategia de la organización, que es un requisito previo para el elemento BMIS, los profesionales de seguridad pueden comprender los
objetivos centrales de la empresa y cómo el programa de seguridad debe respaldarlos mejor. Esto luego se puede asignar a los fundamentos de
seguridad de confidencialidad, disponibilidad e integridad. Además, la estrategia puede actuar como un facilitador de conversaciones entre la alta
dirección y la dirección de seguridad. La forma en que la empresa opera, se sustenta e innova ha sido durante mucho tiempo un área muy observada
que ahora debe aplicarse a la seguridad.

La teoría del diseño organizacional es un campo completamente documentado. Durante

bastante tiempo, la estructura de la organización ha sido el centro de atención,
perfeccionando los organigramas, la estructura de mando, el flujo de información y la
rendición de cuentas y la responsabilidad por la información. Asimismo, tanto los Es imperativo que cualquier organización
profesionales académicos como los practicantes han creado una miríada de documentos en el diseño sea seguro, incluida
torno a la estrategia organizacional, examinando los mejores métodos posibles para
ejecutar los objetivos definidos. Para el propósito de BMIS y su uso práctico, el diseño de la la información que utiliza y los
organización simplemente apoya la estrategia. Una vez que la alta dirección ha definido la Subsistemas de TI.
estrategia global, las unidades organizativas, entidades y otras estructuras se adaptan a los
objetivos estratégicos, lo que a menudo implica una reestructuración. Sin embargo, es
imperativo que cualquier diseño organizacional sea seguro,
Las estructuras organizativas difieren según muchas circunstancias, como la industria, el tamaño, la ubicación geográfica y la cultura. Sin embargo,
independientemente de la empresa, hay puntos en común. En la práctica, la estructura organizativa se presenta a menudo como un obstáculo para lograr una
buena seguridad de la información. Algunos de los pros y los contras de las organizaciones matriciales modernas, en comparación con las estructuras de
organización de línea o de personal más jerárquicas, siempre tendrán un impacto en las personas que administran la seguridad de la información. BMIS ofrece
una visión empresarial de los riesgos intrínsecos y culturales de cualquier diseño organizacional si estos riesgos impactan visiblemente la seguridad.
La organización formal
La organización formal es la estructura creada por el liderazgo empresarial e incluye organigramas formales, políticas documentadas y directivas
proporcionadas al personal. Se complementa con la estrategia marcada por la alta dirección. Cuando la estrategia organizacional general reconoce la
seguridad de la información como un objetivo importante, la estructura lo reflejará en términos de diseño y personas. En la vida cotidiana, los cambios
más efectivos en la percepción de la seguridad de la información tienden a ocurrir cuando una persona de alto nivel en el directorio asume la
responsabilidad de la seguridad y reforma la cultura organizacional. Por lo general, esto ayuda a reducir parte de la 'mentalidad de silo' que se acumula
si la seguridad no se considera una prioridad estratégica. Si, y dónde, el diseño y la estructura organizacional apoyan claramente la seguridad como un
objetivo prioritario, todos los departamentos y unidades subsidiarias serán más eficientes en el trabajo hacia este objetivo. Una organización de
seguridad bien diseñada puede mejorar aún más la postura general de riesgo de la empresa. La visión intuitivamente sistémica adoptada por los altos
directivos evitará que surjan riesgos imprevistos en un área mientras intentan mitigar los riesgos en otra; su visión estratégica les permite reconocer
rápidamente la compensación entre varios riesgos relacionados con la seguridad.
La organización formal es un elemento importante para cualquier empresa. En términos de seguridad de la información, generalmente se acepta que la
seguridad de la información no puede tener éxito sin el apoyo y la participación de la alta dirección.15 En muchas organizaciones, los estilos de gestión jerárquica
son dominantes, por lo que si la dirección no prioriza la seguridad y no comunica esa prioridad a la gente de la empresa, resultará muy difícil conseguir la
aceptación de los directores de las unidades de negocio, obtener la financiación adecuada para el programa de seguridad y hacer cumplir la política. . Asimismo,
si la empresa carece de estructura, pueden surgir los mismos problemas pero por diferentes razones.
Ejemplo
En la empresa A, la seguridad de la información es parte de la función general de TI. No existe una función de director de seguridad de la información (CISO), y
el director de seguridad informa al director de información (CIO). La función de TI establece la dirección mediante la emisión de políticas y estándares para la
seguridad de la información, pero no tiene una influencia directa en la forma en que se implementan en las unidades de negocio. Las decisiones importantes las
toman los comités y luego el gerente de seguridad las ejecuta.
En la empresa B, la seguridad de la información está centralizada en un rol de CISO. Las unidades de negocio han designado formalmente a las personas responsables de
la seguridad. Las decisiones importantes generalmente se toman de manera centralizada, pero a menudo se inician desde dentro de la empresa. El personal de
seguridad se reúne con frecuencia en grupos regionales y, a veces, a nivel mundial.
Las dos organizaciones formales son claramente diferentes en su reconocimiento de la seguridad de la información y en su grado de autoridad central. Ambos
pueden funcionar, pero hay otros factores (como la tecnología, la cultura y los factores humanos) que influirán en el funcionamiento de la organización de
seguridad. Desde una perspectiva de sistemas, la Compañía A está sufriendo fricciones constantes que surgen de las acciones algo autónomas de las empresas.
Los gerentes de seguridad a menudo enfrentan prácticas y comportamientos cambiantes que se deben a presiones comerciales y sucesos cotidianos. Sin
embargo, estos pueden entrar en conflicto con las políticas y la orientación centrales. Las funciones centrales de la empresa A no tienen un vínculo directo con
los negocios, por lo que cualquier innovación técnica o cultural es difícil de consolidar. En la empresa B, la presencia y participación de los gerentes de
seguridad locales y regionales crean un ciclo que se refuerza a sí mismo: la tolerancia local para la ambigüedad y la flexibilidad se pone a prueba (a través de
reuniones regionales y globales), y las unidades centrales pueden proporcionar retroalimentación a la organización global identificando y Fomentar las mejores
prácticas. En términos de BMIS, el elemento Organización probablemente permanecerá estático en la Compañía A, mientras que el mismo elemento en la
Compañía B será uno de los instrumentos que ayudarán
influir y mejorar la seguridad de la información.
15 Grupo de Cumplimiento de Políticas de TI, Mejores prácticas para gestionar la seguridad de la información, Estados Unidos, 2010

El programa de seguridad existe no solo para proteger la información empresarial, sino también, y
principalmente, para ayudar a la empresa a alcanzar sus objetivos. La organización formal (dentro
El programa de seguridad existe no solo del elemento de Organización) informa al gerente de seguridad sobre lo que la empresa debe
lograr en términos de calidad de la información y los activos de información que se protegerán.
para proteger la información empresarial,
Este conocimiento es invaluable para los gerentes de seguridad porque les muestra la dirección
sino también, y principalmente, para ayudar que debe tomar el programa de seguridad para lograr el objetivo más importante: apoyar al
negocio enfocándose en los activos de información en lugar de en el pensamiento protector
a la empresa a alcanzar sus objetivos.
general. El logro de este objetivo permite que otros reconozcan el valor comercial que aporta la
seguridad de la información.
La organización informal
Si bien muchas organizaciones están muy bien definidas y tienen amplias políticas y procedimientos para las operaciones comerciales, también existe
una organización informal dentro de la organización oficial donde las cosas pueden operar fuera o sin políticas escritas. Los organigramas pueden
documentar las relaciones de informes y la responsabilidad delegada y la rendición de cuentas, pero esa no siempre es la forma en que la información
viaja realmente dentro de la organización. Además, la organización informal a menudo determina cómo se toman las decisiones, incluso entre
bastidores y a través de personas influyentes.
Ejemplo
La Organización ABC contrata a un nuevo gerente de seguridad (Peter). ABC tiene poca seguridad, su presupuesto no es enorme y Peter informa a un
CIO muy ocupado que proporciona poca dirección, pero necesita que Peter logre la tarea aparentemente insuperable de priorizar la seguridad para que
los incidentes disminuyan mientras aumentan la confianza y la disponibilidad.
Peter haría bien en enterarse de la organización informal. ¿Quiénes son las personas con influencia? ¿Dónde se maneja la información? ¿De
dónde viene y hacia dónde va la información, tanto dentro como fuera de la organización? ¿Cómo puede Peter incorporar al programa a las
personas influyentes para que comprendan cómo la seguridad facilitará su vida cotidiana? ¿Pueden estos influencers convencer a sus
compañeros, que también son influyentes y pueden apoyar el programa?
Es fundamental que el programa de seguridad de la información reconozca la organización informal. Con la conexión directa con las personas a través de la
Cultura DI, existe una relación entre acciones y comportamientos, y la efectividad organizacional. Los patrones de comportamiento adoptados dentro de una
organización tienen un impacto directo en la seguridad, así como en la productividad y la eficiencia. En muchos casos, probablemente incluido ABC, son el
factor clave para comprender cómo funciona realmente la organización.
La organización informal abarca desde una gran subcultura de acciones individuales de los empleados hasta subculturas
grupales que existen en las unidades de negocio individuales. A menudo están vinculados a sistemas de recompensas e
incentivos. Por ejemplo, los equipos de ventas suelen ser compensados en función de las ventas individuales y grupales en
lugar de a través de un salario. Establecer un objetivo de la organización y fortalecer ese objetivo a través de un sistema de
recompensas puede crear una situación en la que el personal de ventas valore los ingresos por ventas más que otros objetivos
importantes de la organización. Por ejemplo, es posible que los controles que se implementaron para prevenir una exposición,
como la pérdida de datos, no se sigan de manera consistente, lo que abre a la organización a riesgos legales o regulatorios.
Es posible que no se tenga en cuenta el uso de tecnologías de seguridad como el cifrado o las comunicaciones seguras o los riesgos relacionados con la
forma en que se utiliza la tecnología, como las preocupaciones sobre la ingeniería social. Cuando existe un conflicto entre desempeño y conformidad, se
pueden evitar los controles.
A los equipos de ventas a menudo se les otorga una mayor autonomía debido a la importancia de cumplir con las cifras de ingresos mensuales y
trimestrales. Como resultado, la productividad puede tener prioridad sobre la política. Puede que no ocurra lo mismo en otras áreas. Por ejemplo,
en el departamento financiero o contable, las políticas pueden seguirse de manera más estricta; en recursos humanos entran en juego cuestiones
de confidencialidad y protección de datos personales. Estos ejemplos ilustran las distintas culturas que suelen existir en diferentes departamentos
dentro de la misma empresa. La organización informal opera dentro de estas distintas subculturas como lo hace en todo el sistema.
Impacto organizacional en la seguridad

La forma en que se formulan y luego se alcanzan los objetivos estratégicos de alta prioridad tiene un impacto significativo en
la seguridad. La productividad y la rentabilidad, la estabilidad financiera y el crecimiento se equilibran con los requisitos de
cumplimiento, la evasión de responsabilidades y el apetito limitado por el riesgo. Este equilibrio entre objetivos y límites puede
diferir incluso dentro de las unidades de negocio o departamentos organizativos, dependiendo de los objetivos y su viabilidad.
El reconocimiento de la seguridad como parte de la estrategia varía enormemente: en un entorno de cara al cliente con
transacciones en tiempo real, tanto la organización formal como la informal verán fácilmente la necesidad de una seguridad
sólida y visible públicamente. En un entorno basado en el cumplimiento, la organización formal puede aceptar la seguridad
como un hecho, mientras que la organización informal puede mostrar inercia y ser reacia a aceptar el costo asociado.
dieciséis © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Es imperativo que el gerente de seguridad comprenda, dé cuenta y aborde las organizaciones

formales e informales. Un primer paso fundamental es incorporar activamente estas áreas al
programa de seguridad para generar aceptación y ayudar a dar forma a la Es imperativo que la seguridad
gerente entiende, cuenta y

postura de seguridad.
El elemento de organización se conecta con los elementos de personas a través de la cultura, los procesos a través de Abordar las organizaciones
la gobernanza y la tecnología a través de la arquitectura.dieciséis Los cambios realizados en cualquiera de estos
formales e informales.
elementos o DI, obviamente, conducen a cambios en los demás. También es fundamental reconocer que habrá
implicaciones para todo el sistema cuando se realicen cambios.
Ejemplo
En una gran institución financiera, el CIO recibe un informe de auditoría sobre múltiples vulnerabilidades de seguridad relacionadas con la gestión
de identidad y acceso (IAM). Se desarrolla una nueva política que requiere que IAM sea más estricta que antes. El CIO crea un grupo de trabajo
para implementar los cambios y hacerse cargo de IAM. El proceso de gestión de la identidad se revisa y se comunica a todos los empleados. Al
mismo tiempo, se introduce una nueva herramienta para globalizar y centralizar todas las actividades de IAM en toda la empresa.
Los eventos posteriores muestran un efecto adverso. El número de violaciones de acceso e identidades compartidas aumenta drásticamente. Las investigaciones
realizadas por auditoría interna muestran que los empleados se muestran reacios a seguir el nuevo proceso, ya que sienten que obstaculiza su actividad diaria. Los
gerentes de seguridad ya no pueden controlar las identidades y los derechos de acceso localmente, y han cedido la responsabilidad a la unidad central que ahora está a
cargo de IAM. Si bien la herramienta se ha implementado por completo, existen importantes problemas de calidad de los datos que la hacen casi inútil.
El cambio inicial en este ejemplo se relaciona con la Organización y el DI rector (ver el párrafo siguiente). El sistema general se cambia imponiendo
una nueva dirección (globalización y centralización). A medida que se activa la DI Gobernante, los procesos cambian inevitablemente. Asimismo, la
Arquitectura DI conduce a la introducción de una nueva herramienta en el elemento Tecnología. Otro efecto en el modelo general es el cambio de
cultura, ya que los gerentes de seguridad ya no tienen control local sobre las identidades y los derechos de acceso. Esto se relaciona con la Cultura
DI.
El cambio inicial en el diseño organizacional puede haber funcionado, si no hubiera tenido efectos secundarios en todas las demás partes del modelo:
los nuevos procesos engorrosos se encuentran con la resistencia pasiva de las personas que se sienten incapaces o no dispuestas a adoptar el
cambio cultural. Su interpretación lleva a Emergence (otro DI): se sigue el proceso, pero no como se pretendía originalmente. De manera similar, la
nueva herramienta no puede habilitar y respaldar los nuevos procesos, simplemente porque no se siguen como se anticipó. Mientras la arquitectura
está ahí, es disfuncional.
En una mentalidad lineal, la reacción del CIO al informe de auditoría es comprensible: los hallazgos se abordan mediante medidas que se aplican
posteriormente hasta que se reduce el número de problemas de IAM. Sin embargo, en una mentalidad sistémica, el CIO puede haber anticipado los
efectos primarios en los procesos (desaceleración, burocracia, sentido de desconfianza, etc.) así como en la cultura (resistencia pasiva) y la arquitectura
(introduciendo una herramienta que resuelve el problema equivocado) .
El elemento de la Organización abarca muchas actividades comerciales, incluido el cumplimiento, la continuidad del
negocio, la resiliencia y la sostenibilidad, a través de sus conexiones. Se centra en impulsar el negocio y orientar a la
organización hacia el cumplimiento de sus objetivos. Es un punto focal para la responsabilidad y la rendición de cuentas
y un sólido punto de partida para llevar el diseño de seguridad a todas las unidades comerciales de la empresa.
También tiene el potencial de influir sustancialmente en la cultura de la empresa. Si bien la gestión de riesgos y la
convergencia deben considerarse en todo el sistema, el área principal para abordar estos temas es el elemento de
Organización. Esto reduce el peligro de que el riesgo se gestione en silos, creando inadvertidamente riesgos
imprevistos para otras áreas del negocio. Con conexiones en los elementos de Proceso, Personas y Tecnología,
Proceso
El proceso es el segundo elemento a considerar (Figura 4). El elemento de proceso es único y proporciona un vínculo vital con todos los DI del modelo. Los
procesos se crean para ayudar a las organizaciones a lograr su estrategia. Son las actividades estructuradas que se crean para lograr un resultado particular a
través de tareas individuales o una serie de tareas aplicadas de manera consistente. El elemento Proceso explica las prácticas y los procedimientos que las
personas y las organizaciones quieren que se cumplan. El proceso es un elemento fundamental que simboliza los requisitos
para que una empresa desarrolle, promulgue, eduque y haga cumplir las prácticas y procedimientos de seguridad de manera continua.
dieciséis Las interconexiones dinámicas y los elementos relacionados se explican en detalle en las secciones siguientes de este documento.

Figura 4 — Elemento de proceso en BMIS
PROCESO
Gobernante
Ha
b
ilit
n
ió
ac
ió
ic
ny
ar
Ap
so
po
rte
ORGANIZACIÓN
Ar
q
ra ui
te
ltu ct
Cu ur
a
El marco de riesgo de TI de ISACA ofrece una descripción clara y detallada de un proceso eficaz como uno que:
… Es una colección confiable y repetitiva de actividades y controles para realizar una determinada tarea. Los procesos toman
información de una o más fuentes (incluidos otros procesos), manipulan la entrada, utilizan los recursos de acuerdo con las políticas y
producen salida (incluida la salida a otros procesos). Los procesos deben tener razones comerciales claras para los propietarios
responsables existentes, roles y responsabilidades claros en torno a la ejecución de cada actividad clave, y los medios para emprender
y medir el desempeño.
Atributos de los procesos

Los atributos del proceso son:
• Madurez del proceso—Un proceso puede utilizar mecanismos formales o informales (grandes y pequeños, simples y complejos) para lograr su objetivo y
cumplir su propósito. Por lo general, un proceso se considera maduro cuando está bien definido, gestionado, medible y optimizado. Por lo general, los procesos
informales solo pueden ser realizados por personas expertas en las tareas y no están documentados o están mal documentados. Entre los pocos modelos que
definen la madurez del proceso se encuentran el modelo de madurez de COBIT para el control interno y las Integraciones de modelos de madurez de capacidad
(CMMI).17
• Enlace a DI—El proceso es un vínculo vital para varios de los DI dentro de BMIS, que se conectan directamente con Governing, Emergencia y
Habilitación y Soporte. Desde la perspectiva del Gobierno, un proceso se define como un resultado de la estrategia organizacional para lograr
ciertos patrones de comportamiento mientras está habilitado y apoyado por la tecnología. Desde la perspectiva de Emergencia, un proceso necesita
flexibilidad para ajustarse y adaptarse a situaciones nuevas e inesperadas y tener en cuenta las aportaciones y el comportamiento de las personas,
basándose en la experiencia y los consejos. Finalmente, desde la perspectiva de Habilitación y Soporte, un proceso debe estar alineado con la
tecnología para que la organización pueda recibir el beneficio total de las soluciones técnicas de manera continua. Esto funciona en ambos
sentidos: la tecnología automatiza los procesos, pero también puede haber procesos que potencian la tecnología,
Enfoque sistémico de los procesos

Como resultado, un conjunto de procesos de seguridad efectivos debe abarcar todos los aspectos y áreas de una empresa. El proceso es un elemento clave que
siempre tocará varios otros elementos y DI. Debe considerarse de manera integral y no simplemente como la suma de sus partes. Un enfoque holístico define el
proceso como una unidad de funcionamiento completa en la que una parte del proceso permite la comprensión y el funcionamiento de otras partes del proceso.
Puede que no haya un solo proceso de seguridad de la información, y el elemento de proceso BMIS generalmente constará de una gran cantidad de procesos
individuales que respaldan aspectos de seguridad.
17 Por motivos de seguridad, la implementación principal de CMMI se encuentra en ISO 21827 Ingeniería de sistemas seguros — CMM.

Ejemplo
Las evaluaciones de procesos se realizan mejor dividiendo cada proceso en partes y analizándolas por separado o de manera integral. Utilizando
el proceso de gestión de incidentes de seguridad (SIM) como ejemplo, es posible identificar las siguientes debilidades / problemas comunes que
se encuentran en un proceso SIM típico:
• El propietario no está definido y los incidentes no se revisan con la suficiente frecuencia.
• Los incidentes no se clasifican y priorizan adecuadamente.
• Las rutas de escalada no están suficientemente definidas y fallan en la práctica.
• Los incidentes no se documentan o gestionan adecuadamente y no existen herramientas de seguimiento de incidentes.
• No se realiza un seguimiento de incidentes y no existe un procedimiento de "lecciones aprendidas".
• Los cambios de resolución y emergencia no están debidamente documentados.
En un enfoque tradicional (no sistémico), se revisarían cada uno de estos problemas individualmente, lo que a menudo resulta en
esfuerzos de resolución de problemas que intentan abordar los síntomas obvios sin identificar la causa subyacente. Esto, a su vez,
produce un alivio a corto plazo pero no una cura a largo plazo. Por ejemplo, en los problemas enumerados anteriormente, es
evidente que los síntomas comienzan con una falla en el reconocimiento de la gravedad y la prioridad de los incidentes, lo que a
menudo conduce a debilidades al documentarlos. Para el revisor experimentado, la lista proporciona mucha más información 'entre
líneas': la falta de habilidades de gestión de incidentes puede haber sido la causa principal de no poder clasificar y priorizar,
mientras que la falta de apoyo de la alta dirección (y presupuesto) probablemente lo haga estar detrás de los problemas con la
documentación y el seguimiento, así como la falta de seguimiento.
En un enfoque sistémico, por otro lado, uno identificaría todos los problemas y luego buscaría temas comunes que los atraviesen. En el
ejemplo de SIM, el tema se puede identificar como se muestra enFigura 5.
Figura 5: Proceso de gestión de incidentes de seguridad
Tema: Es necesario corregir el proceso de gobernanza en curso.

Cuestiones:
2. Falta de comunicación
1. Propietario no definido
entre funciones 3. Frecuencia inadecuada de revisión de incidentes
4. Infracciones identificadas por terceros
(Enfoque sistémico) Tema: proceso de gobernanza en curso
En un modo de pensamiento sistémico, las razones reales de las fallas en la gestión de incidentes emergen rápidamente. La falta de apropiación, y
por tanto la falta de responsabilidad, es el punto de partida de las fallas en la técnica (clasificación, priorización). Donde nadie está realmente
interesado en los incidentes, y lo que denota un incidente en primer lugar, la escalada adecuada es difícil de lograr. Del mismo modo, un incidente
que no haya sido reconocido por lo que es no será documentado ni rastreado. La imagen completa apunta claramente en la dirección de la
configuración organizativa y el gobierno sobre la gestión de incidentes, mientras que las observaciones individuales (síntomas) parecen bastante
técnicas a primera vista.
La utilización de un enfoque de sistemas para los procesos de seguridad de la información puede ayudar a los gerentes de seguridad de la información a abordar
entornos complejos y dinámicos. Además, puede generar un efecto beneficioso en la colaboración dentro de la empresa, en la adaptación al cambio operativo, en
la navegación de la incertidumbre estratégica y en la tolerancia del impacto de factores externos.
Otros dos conceptos clave en el pensamiento sistémico son la retroalimentación y el retraso. La retroalimentación es la función de compartir
observaciones, inquietudes y sugerencias entre personas o divisiones de la empresa con el fin de mejorar el desempeño tanto organizacional
como personal. Desde la perspectiva del proceso de seguridad, la retroalimentación se convierte en parte de cada proceso de seguridad en
el modelo, lo que permite que el proceso específico 'aprenda', mejore y se ajuste con el tiempo para responder a los entornos comerciales
cambiantes. La retroalimentación es necesaria para adaptarse al cambiante panorama de amenazas a la seguridad y para respaldar una
seguridad mejorada. En el ejemplo anterior de gestión de incidentes, la retroalimentación de incidentes pasados sería una herramienta
invaluable para ajustar gradualmente el marco de gobernanza, poner a una persona capacitada en el lugar para arreglar el proceso y
abordar las fallas y deficiencias.

El concepto de retraso tiene implicaciones para el modelo y los procesos de seguridad asociados. La demora se define como el período de tiempo durante el cual un proceso está operando cuando se recibe la retroalimentación
y se integra en el proceso. La demora en la realización del proceso o en la implementación de la retroalimentación crea un riesgo en el modelo desde la perspectiva de la seguridad porque es una ventana de vulnerabilidad para
la empresa. Un ejemplo es el período entre el momento en que se lanza un parche de seguridad para un sistema operativo y el momento en que se puede instalar en un sistema. Alternativamente, ¿Cuánto tiempo se tarda en
proteger todos los dispositivos con el último software antivirus o antimalware una vez lanzado? ¿Y cómo se protege a la empresa y a otros que se han actualizado de aquellos que no se han actualizado? ¿Cómo se aborda la
fuga / protección de datos desde el momento en que se crea y luego se hace frente al impacto de una demora en su protección? En el ejemplo de la gestión de incidentes, los retrasos en el reconocimiento de los síntomas y la
aplicación de una solución sistémica dejarán a la empresa vulnerable a los incidentes que suceden antes de que se mejore el marco de gobierno y los procesos afectados. Dependiendo de la gravedad, estos incidentes pueden
causar daños y tener un impacto significativo en el negocio. Los retrasos en el reconocimiento de los síntomas y la aplicación de una solución sistémica dejarán a la empresa vulnerable a los incidentes que ocurren antes de que
se mejore el marco de gobierno y los procesos afectados. Dependiendo de la gravedad, estos incidentes pueden causar daños y tener un impacto significativo en el negocio. Los retrasos en el reconocimiento de los síntomas y
la aplicación de una solución sistémica dejarán a la empresa vulnerable a los incidentes que ocurren antes de que se mejore el marco de gobierno y los procesos afectados. Dependiendo de la gravedad, estos incidentes pueden
causar daños y tener un impacto significativo en el negocio.
Al utilizar estos conceptos para procesos, integrados con el modelo BMIS, las organizaciones pueden aprovechar un enfoque de sistemas para implementar un
conjunto más eficaz de procesos de seguridad de la información. Para cubrir toda la seguridad de la información, un enfoque de sistemas abarca claramente más
de un proceso de seguridad. A modo de ejemplo, los desafíos en la gestión de incidentes no deben verse de forma aislada: obviamente requerirán que los
gerentes de seguridad superiores examinen los vínculos con la recuperación de desastres y la continuidad del negocio y posiblemente en el proceso más amplio
de gestión de cambios y los procedimientos relacionados.
Tecnología
A menudo, la parte más familiar de un programa de seguridad de la información, la tecnología es un elemento comparativamente complejo y altamente
especializado dentro de BMIS (figura 6). La tecnología brinda a los profesionales de la seguridad muchas de las herramientas que se utilizan para lograr la misión y
la estrategia de la empresa en su conjunto, incluidos los parámetros de seguridad genéricos de confidencialidad, integridad y disponibilidad. Sin embargo, la
tecnología no es todo lo que hay para la seguridad de la información, aunque existe una percepción errónea frecuente de que invertir en tecnología
resolver todos y cada uno de los problemas de seguridad.
Figura 6 — Elemento tecnológico en BMIS
TECNOLOGÍA
Habilitar y
Apoyo
Fa
ct
ra
or
u
es
ct
hu
ite
m
qu
an
Ar
o s
PROCESO
Ap
nt
e ar
na ic ió
er
b n
Go
ORGANIZACIÓN Cultura GENTE
Alcance de la tecnología
La tecnología se puede definir como "la aplicación práctica del conocimiento, especialmente en un área en particular" y "una capacidad dada
por la aplicación práctica del conocimiento".18 El Enciclopedia Británica define la tecnología como "la aplicación del conocimiento científico a los
objetivos prácticos de la vida humana o, como se dice a veces, al cambio y manipulación del entorno humano".19 Estas definiciones prácticas
ilustran el significado clave del término dentro de BMIS: la tecnología incluye todas las aplicaciones técnicas de
18 Merriam Webster, Estados Unidos, 2009

19 Estados Unidos, 2009

conocimiento utilizado en la organización. En la práctica, es probable que la definición de tecnología sea limitada, ya que tiene el propósito de
respaldar y lograr los objetivos de la organización. Por el contrario, la idea de que la tecnología es solo TI es demasiado limitada. En el contexto de
BMIS dentro de una organización, la tecnología cubre más que la TI tradicional.
En el nivel más bajo, la tecnología puede referirse a objetos concretos (como herramientas e implementos) o a su funcionamiento.
Alternativamente, la tecnología puede considerarse la cantidad de conocimiento "científico" aplicado implementado dentro de una empresa y el
grado en que la empresa depende de ella: el nivel de "sofisticación técnica" de la empresa.
La tecnología, en forma de una variedad cada vez mayor de opciones disponibles, afecta la vida diaria de todos, desde el uso de la cámara y el automóvil, hasta la
televisión y la grabadora de video, pasando por la panificadora automática. Por lo tanto, los humanos han tendido a un uso más concreto del término.
Claramente, existe la posibilidad de confusión masiva, y la perplejidad generada por estos ejemplos "en casa" se multiplica cuando la escena cambia a la empresa.
La confusión no gira completamente en torno a TI; En la mayoría de los casos, TI ahora puede ofrecer soluciones más seguras de la misma manera que la nueva
generación de cámaras digitales minimiza el riesgo de error del usuario, el automóvil moderno contiene una miríada de sensores vinculados a microchips que
administran el desempeño del vehículo, y la videograbadora. se puede programar mediante una entrada sencilla basada en menús.
Ejemplo
En una importante empresa internacional, la tecnología cubre una gama inusualmente amplia de cosas. Las infraestructuras básicas (como agua,
electricidad y carreteras) se consideran relevantes para la seguridad en muchas regiones donde la empresa ha decidido asumir parte o la totalidad
de la responsabilidad de estas infraestructuras. Este suele ser el caso en países y ubicaciones geográficas más remotos. En el otro extremo de la
gama tecnológica, las aplicaciones financieras centrales también se consideran relevantes para la seguridad, por razones obvias. Las diferentes
capas de infraestructura, TI y aplicaciones se gestionan a través de varios departamentos de tecnología que tienen definidos enlaces e interfaces
(elemento Organización). Se han encargado varios proyectos para integrar arquitectura tecnológica y arquitectura orientada a servicios.
Desde el punto de vista de BMIS, la tecnología es un elemento omnipresente con un amplio alcance. El uso de varias capas permite distinguir entre los
procesos que son compatibles, y la arquitectura de la tecnología relevante para la seguridad se mapea fácilmente. Las consideraciones de seguridad y
protección en todos los niveles de tecnología están expresadas por el DI de Factores Humanos, que determina cómo se percibe, adopta y utiliza la tecnología.
La vista sistémica permite que la administración de seguridad comprenda las dependencias de la tecnología y los efectos en el sistema general cuando se
realizan cambios:
• Infraestructura básica (externa)-Electricidad; calefacción, ventilación y aire acondicionado (HVAC); agua; etc., pueden proporcionarse
externamente, pero deben verse como habilitadores de procesos con un alto nivel de criticidad. En un contexto sistémico, la infraestructura básica
influye en todos los procesos y personas.
• TI de capa media (interna y externa)—Las redes, el hardware y las plataformas pueden ser internas o subcontratadas, pero dependen de
la capa básica. Influyen sistémicamente tanto en las soluciones tecnológicas de alto nivel como en los procesos.
• TI de alto nivel (interno y externo)—Las aplicaciones, los servicios, etc., dependen de la capa intermedia de TI, incluido el aprovisionamiento
de seguridad de esa capa. Influyen sistémicamente tanto en los procesos y la estrategia como en las personas (usuarios directos).
• TI omnipresente—Las aplicaciones, dispositivos y procesos dispersos y descentralizados dependen de los servicios de TI de alto nivel proporcionados
por la empresa. Influyen sistémicamente en todos los demás elementos del modelo y pueden remodelar la estrategia y el diseño organizacional
(cambios de paradigma en la forma de trabajar de las personas).
En este ejemplo, las capas de tecnología se vinculan a diferentes elementos y DI dentro de BMIS. La complejidad y el amplio alcance del elemento
Tecnología necesitan un enfoque detallado dentro del elemento, pero la vista sistémica asegura que las dependencias y la 'ondulación
mediante los efectos se identifican y gestionan.
Tecnología en BMIS
Así, dentro de BMIS, el elemento Tecnología se refiere a todos implementación de habilidades y
conocimientos técnicos que posiblemente podrían tener un impacto en la seguridad general de la
información. Esto puede variar desde el localizador personal y el teléfono móvil hasta la voz sobre IP En BMIS, el elemento Tecnología se refiere a
(VoIP); del asistente digital personal (PDA) al mainframe; desde el edificio sólido y la cerradura física de toda implementación de habilidades y
la puerta hasta los dispositivos de gestión de acceso biométrico; desde la cámara de la PC hasta un
sistema de videovigilancia de fotogramas congelados, en color y totalmente integrado; y desde el botón conocimientos técnicos que posiblemente
de alarma de incendio hasta el más sofisticado puedan tener un impacto en la seguridad

sistemas de detección y extinción de incendios. Como parte de la perspectiva sistémica, BMIS también
aborda tecnologías omnipresentes que van más allá de los límites de la propia empresa: aplicaciones general de la información.
basadas en web y almacenamiento de datos, acceso a través de redes públicas, infraestructuras peer-to-
peer, redes oscuras y otras tecnologías que la gente usa como servicios.

Ejemplo
En una gran corporación internacional, el uso cauteloso de la TI ha llevado a la alta dirección a establecer estrictos controles y políticas de seguridad. Estos han
estado en funcionamiento durante muchos años y se distribuyen copias de la política de seguridad de TI a cada nuevo empleado que debe firmar una
declaración de conformidad. En un modelo de seguridad estática, esto es parte del aspecto de 'seguridad de las personas' que se ha enfatizado como
importante. En BMIS, el conjunto de políticas y controles se ubican en el elemento Organización y la DI Gobernante.
La política de seguridad se introdujo originalmente en 2004, como se indica en el pie de página de cada página. Destaca la necesidad de seguridad y luego
describe detalladamente cómo deben destruirse los disquetes, cómo deben lidiar los empleados con las llamadas de módem a través de líneas públicas y
cómo deben evitarse las descargas cuando se utilizan conexiones de banda estrecha.
Esto muestra cómo los pasos bien intencionados pueden invalidarse si no se tiene en cuenta el contexto sistémico. En este caso, la política no se ha
actualizado y ampliado para cubrir dispositivos móviles 'inteligentes' (apenas menciona portátiles), redes de área local amplia (WLAN), el sistema
universal de telecomunicaciones móviles (UMTS), redes oscuras peer-to-peer como como FON, o dispositivos basados en servicios que solo sirven
para acceder a la web donde se almacenan los datos y residen las aplicaciones (por ejemplo, el teléfono de Google). Mientras se aborda la
tecnología, esto se hace de manera lineal en lugar de sistémica.
La nueva tecnología generalmente está restringida en este entorno corporativo. La primera respuesta que la alta dirección y el departamento de TI le darán a
un usuario es un estricto "no". Solo después de varios ciclos de innovación, la tecnología que ya no es nueva será internalizada y autorizada para uso general.
Por lo tanto, los usuarios de esta gran corporación internacional se están quedando atrás en el uso de tecnología rápida y los habilitadores típicos de su
negocio diario.
Dentro de BMIS, es inmediatamente evidente que existe un desajuste entre la intención de la política y la tecnología en el terreno, ya que la política
se ha vuelto obsoleta. La forma de resolver esto es obviamente en la Arquitectura DI, que debe proporcionar el vínculo entre la tecnología existente
(o planificada) y los supuestos organizacionales relacionados con los controles de seguridad. Al recorrer BMIS paso a paso, la estrategia
organizacional general parece ser hostil a la tecnología y existe una desconexión entre la visión corporativa del mundo y el mundo real. Por lo tanto,
es probable que el elemento Proceso, gobernado por políticas y controles, se esté quedando atrás del estado actual del uso y la seguridad de la TI.
Además, las personas / empleados se habrán acostumbrado a formas de trabajo más modernas, muy probablemente a través del uso privado de TI
en el hogar. En términos sistémicos, esto crea tensión entre la cultura organizacional y los hábitos y comportamientos de las personas. Esto puede
conducir a cambios sutiles en los procesos que se producen a través de Emergence DI. En la práctica, un ejemplo típico es cuando los empleados
comienzan a llevar sus computadoras portátiles privadas al trabajo para evitar tener que usar la estructura de TI corporativa.
Ejemplo
En una empresa regional de Europa con aproximadamente 1.000 empleados, la tecnología forma parte del tejido organizativo. El negocio principal es la
fabricación de equipos de alta tecnología que se exportan a muchos países del mundo. En general, se considera que las TI son un facilitador para el negocio
diario, y la seguridad ocupa un lugar muy importante en la agenda debido a varias patentes, otros derechos de propiedad intelectual y un par de nuevos
prototipos interesantes en proceso.
Si bien la empresa tiene una política de seguridad de la información, esta política es totalmente conductual y dice poco sobre los controles técnicos. En esencia,
solo establece que todos los empleados deben manejar los datos y la información de la misma manera que manejan sus datos personales de banca
electrónica, independientemente del hardware o software utilizado. La política establece además que, en principio, nada está restringido, pero el riesgo debe
ser evaluado y evaluado por los empleados como lo harían con los datos de su propia tarjeta de crédito.
Las tecnologías nuevas y disruptivas se adoptan rápidamente en la organización. Cuando hay un "elemento nuevo" disponible en el mercado, siempre hay varias
personas dispuestas a probarlo, informar los resultados a TI y, posteriormente, trabajar con TI para asegurar su seguridad. Los usuarios impulsan el proceso de
adopción, adaptación y aceptación de nuevas tecnologías, y otros usuarios se benefician de los esquemas piloto. De esta manera, la compañía ha internalizado
los teléfonos inteligentes e incluso los primeros dispositivos informáticos portátiles.
En términos de BMIS, el elemento Organización es mucho menos importante en este caso que en el ejemplo anterior. La tecnología está impulsada
por el elemento Personas y el DI de Factores Humanos, ya que se anima a los usuarios a adoptar nuevas tecnologías a modo de prueba. Por lo
tanto, la cultura organizacional está más centrada en las personas y menos centrada en el gobierno y el control centrales. En los siguientes
procesos, los usuarios buscan activamente tecnología y fortalecen la DI de Habilitación y Soporte. Desde una perspectiva sistémica, esta visión de
BMIS es mucho más dinámica que el ejemplo anterior. La empresa en este ejemplo se basa mucho más en los DI de Cultura y Factores Humanos
que en consideraciones de arquitectura y gobierno central.
Ninguno de estos ejemplos proporciona una respuesta definitiva a lo que está bien o mal. Sin embargo, ambos ejemplos muestran que BMIS como
herramienta sistémica destaca claramente el papel de la tecnología como elemento.

Es justo decir que el elemento Tecnología contiene una capacidad excepcional para abordar las debilidades de seguridad. Muchas inquietudes de seguridad de la
información pueden satisfacerse mediante la implementación de controles basados en la tecnología, incluidas las inquietudes relacionadas con errores humanos o
ataques deliberados y el impacto de incidentes disruptivos naturales o provocados por el hombre.
Una vez que una herramienta utilizada principalmente para la protección perimetral, la tecnología ha avanzado a lo largo de los años para brindar protección no
solo para el perímetro, sino también para áreas como prevención de pérdida de datos, metodologías de cifrado, correlación de eventos, control de acceso y
gestión de la información. Si bien existen muchas opciones para las herramientas, el riesgo empresarial y el riesgo del proceso comercial son las fuerzas
impulsoras detrás del programa de seguridad. Por lo tanto, la selección de tecnología siempre debe abordar la utilidad, la eficiencia y la productividad de la
empresa en general. Una vez que se selecciona e implementa la tecnología, se debe capacitar a quienes necesitan usar las herramientas y se necesitará
monitoreo para verificar que la tecnología esté funcionando adecuadamente. Ha habido muchas brechas recientes y bien publicadas de empresas que cuentan
con una gran cantidad de tecnología para prevenir eventos de seguridad. Si bien la tecnología es una pieza importante del rompecabezas, si se implementa y se
ignora, puede dar a la empresa una falsa sensación de seguridad.
Gente
Elemento People de BMIS (figura 7) representa los recursos humanos de una organización: los empleados, los contratistas, los proveedores y los proveedores de
servicios. Las personas principales dentro de BMIS son aquellas que están empleadas o asociadas con la organización. Sin embargo, en situaciones de
subcontratación, relaciones con múltiples proveedores o soluciones tecnológicas de servicios administrados, existe un segundo círculo de personas que trabajan
indirectamente dentro o para la organización. Este círculo más amplio de personas debe tenerse en cuenta, pero su impacto en la seguridad puede no residir en
el elemento Personas. Por ejemplo, un proveedor de servicios de mesa de ayuda puede verse como un proceso dentro de ese elemento, y cualquier efecto
sistémico basado en las personas se produciría a través de Emergence. En la práctica, el resultado final de un cambio sistémico con respecto a las personas suele
ser el mismo, independientemente de si las personas son internas o externas secundarias.
Las 'personas' no son solo unidades de una y no pueden estudiarse de manera independiente. Para comprender cómo la seguridad de la información afecta y es
afectada por las personas, se requiere un enfoque sistémico, estudiando la interacción de las personas con el resto de elementos del modelo.
a través de los DI.
Figura 7 — Elemento de personas en BMIS
GENTE
Aparición
Fa
ct
or
ra
es
ltu
h
um
Cu
an
os
PROCESO
Ha
te b
rn
an Ap ilita
be oy r y
Go o
ORGANIZACIÓN Arquitectura TECNOLOGÍA
Las personas dentro de una organización tienen sus propias creencias, valores y comportamientos que surgen de sus personalidades y experiencias. El marco
corporativo afecta y se ve afectado por estos atributos, ya que define sus propias creencias, valores y comportamientos y el grado en que se espera que las
personas cumplan. Esto se refleja en la Cultura DI. Por ejemplo, la forma en que las personas actúan dentro de una organización, y en relación con la seguridad
de la información, depende de la estrategia corporativa de recursos humanos (RR.HH.) definida en el elemento Organización e implementada dentro de los
procesos, como parte del gobierno de la organización. Si la estrategia corporativa de RRHH se relaciona

el desempeño de los empleados en el cumplimiento de las políticas corporativas (incluida la seguridad de la información) hasta los resultados de la evaluación de
los empleados, luego se respalda el cumplimiento de la cultura corporativa. En otro ejemplo, la empresa que tiene políticas bien desarrolladas para tratar con los
empleados durante la contratación y el empleo y después de la terminación del contrato demuestra un proceso sólido para administrar a las personas y las
expectativas relativas a la seguridad de la información. Por supuesto, este proceso es implementado por personas (el departamento de recursos humanos, la
gerencia de línea, el departamento de seguridad) y la naturaleza humana dicta que, al implementar procesos, las personas a menudo introducen un nivel de
incertidumbre, que se refleja en Emergence DI.
Es evidente que las personas influyen en la seguridad de la información a través de su interacción con el entorno corporativo,
reflejado en sus estrategias y procesos corporativos o en otras personas. Un estudio de otros elementos y DI, como Tecnología,
Factores Humanos, Habilitación y Soporte y Arquitectura, permitirá una mejor comprensión de esta interacción. Por ejemplo, las
personas pueden haber sido contratadas porque demostraron ciertas habilidades para usar la tecnología. Pero si la seguridad de la
información se implementa dentro de la infraestructura tecnológica corporativa de manera contraria a la cultura corporativa
imperante, esas mismas personas pueden tener dificultades para cumplir con la política de seguridad, independientemente de sus
habilidades técnicas. Si el diseñador del sistema no tiene el nivel requerido de habilidades y conocimientos de seguridad,
Por ejemplo, si una empresa intenta reducir el robo utilizando tecnología como un lector de credenciales o un código para el control de
acceso físico, le correspondería comunicar el cambio a los empleados con anticipación. Si la tecnología se implementa luego de una manera
bien controlada que incluye capacitación, comunicación de las razones del nuevo control y explicación de las políticas asociadas con ella, la
gerencia puede prevenir el agravamiento de los empleados (y su posible manifestación en los controles anulantes al abrir puertas abiertas). ,
dejar entrar a personas o incluso dañar físicamente el dispositivo).
Del mismo modo, si una empresa requiere cambios de contraseña con demasiada frecuencia, o si las contraseñas son demasiado complejas, el resultado será
una sobrecarga burocrática en el proceso de administración de contraseñas. Pensando de manera sistémica, la ganancia en seguridad (contra el hecho de que
las contraseñas sean adivinadas o forzadas) se convierte en una pérdida de seguridad porque los factores humanos entran en juego. El riesgo general del
sistema, desde la perspectiva de la alta dirección, ha aumentado en lugar de disminuir si las personas no pueden hacer frente a una gestión compleja de
contraseñas y, posteriormente, compartirlas o escribirlas. El elemento decisivo en este ejemplo son las Personas, ya que su percepción de 'tener una contraseña'
y su reacción a la frustración desencadenarán la Emergencia DI y, en consecuencia, comprometerán la
proceso.
Estas situaciones ocurren porque los controles de seguridad implementados, aunque bien intencionados,
En BMIS, el elemento central que decide fueron confusos, difíciles de usar o agravantes. Es posible que después de la implementación de dichos
controles, la empresa esté en mayor riesgo que antes porque la implementación ha generado una falsa
sobre la aceptación de los controles
sensación de seguridad. En BMIS, el componente central que decide sobre la aceptación de los controles es
es la gente. Personas. Si bien se espera que se adhieran a ciertas reglas y restricciones, la naturaleza humana
individual puede conducir a una variedad de resultados diferentes. Los factores humanos DI
desencadenados por un problema de aceptación
puede invalidar fácilmente la tecnología (que puede ser sólida y viable cuando se ve aisladamente). La Cultura DI, por otro lado, determina las reglas
no escritas además de las reglas escritas; las personas probablemente seguirán lo que ven como la cultura corporativa predominante o la cultura del
grupo de pares. Emergence DI resulta de patrones de comportamiento individuales o grupales e influye directamente en el proceso de administración
de contraseñas.
Si los empleados evitan el proceso o no siguen las políticas, también puede haber riesgos adicionales: cuando la seguridad se considera engorrosa o demasiado
compleja, las personas tienden a establecer sus propias reglas no escritas porque no pueden o no quieren aceptar las reglas escritas . Por el contrario, si los
empleados se enfrentan a un número creciente de controles, procedimientos y otras normas, pueden seguirlos al pie de la letra, pero sin darse cuenta de la
justificación. Por lo tanto, el control excesivo puede reemplazar gradualmente el pensamiento cauteloso y la atención activa a la seguridad.
Cualquiera que acceda a la información y realice un proceso (o parte de un proceso) en la información debe ser consciente de los
requisitos de calidad (cómo se agrega valor a la información mediante el proceso aplicado) y los controles de seguridad relacionados
(para garantizar que este nivel de calidad es alcanzado). Esto es abordado por el elemento Proceso a través del Emergence DI,
mediante el cual las personas pueden participar en la elaboración del proceso más apropiado y seguro. Esto será mucho más efectivo
y eficiente si la organización proporciona una dirección y objetivos claros y la cultura adecuada motiva a todos, no solo a realizar las
tareas de seguridad de manera consciente, sino también a mejorar su efectividad y eficiencia. Apoyar los controles con herramientas
(tecnología) predispondrá a las personas a utilizarlos adecuadamente,

Interconexiones dinámicas BMIS
Los elementos de BMIS, como se describió anteriormente, no existen de forma aislada. En los enfoques de seguridad tradicionales, las dependencias
entre los elementos a menudo se pasan por alto. Esto conduce a un pensamiento lineal y pasos y medidas escalonadas en un elemento, pero sin
lograr necesariamente mejoras de seguridad reales. A menudo es obvio que, en la práctica, los cambios en un elemento influyen en todos los demás.
La forma en que BMIS expresa estas dependencias es a través de DI.
Cualquier DI entre dos elementos es flexible y también representa la tensión potencial entre los elementos. Por ejemplo, los elementos Organización y Personas
están estrechamente vinculados, pero muchas de las dificultades conocidas en el día a día de los negocios se derivan del hecho de que la estructura organizativa
dada no se ajusta a las expectativas de las personas. Del mismo modo, la DI de habilitación y apoyo entre el proceso y la tecnología, obviamente, existe, pero
puede resultar tensa en momentos en que la nueva tecnología no se ajusta completamente a los procesos existentes. Las tensiones en los DI generalmente
distorsionan el modelo y, con el paso del tiempo, conducen a cambios que disminuyen la tensión entre elementos.
Las interconexiones también indican que BMIS no es estático. Representan las partes dinámicas
del modelo en las que ocurren las acciones y donde los cambios, a su vez, influyen en los
elementos. La naturaleza humana tiende a permanecer consistente, sin importar si las personas
están dentro o fuera de una organización. De manera similar, la adopción de cambios en la Las interconexiones también indican que
estrategia organizacional ocurre en una serie de pasos y, a veces, lentamente. Sin embargo, la
BMIS no es estático. Representan las
Cultura DI entre Organización y Personas está sujeta a cambios frecuentes, y en el pensamiento
sistémico, la cultura es más que la suma de sus partes. partes dinámicas del modelo en las que se
producen las acciones y los cambios, en

Los DI en BMIS también interactúan entre sí en un sentido sistémico. En algunas situaciones, el
comportamiento del sistema en general crea bucles de retroalimentación o retroalimentación. Estos a su vez, influir en los elementos.
bucles cambian dinámicamente el sistema y lo mueven gradualmente a un nuevo estado. Donde existan
tensiones que distorsionen el modelo, surgirán cambios primero en un DI y luego en los elementos
correspondientes. Esto, a su vez, puede influir en otros DI y elementos, dando lugar a un bucle que se
refuerza a sí mismo y mueve el modelo en su conjunto.
Gobernante
Según ISACA, 'la gobernanza es el conjunto de responsabilidades y prácticas ejercidas por la junta y la dirección ejecutiva con el objetivo de
proporcionar una dirección estratégica, garantizar que se logren los objetivos, verificar que los riesgos se gestionen de forma adecuada y verificar que
los recursos de la empresa se utilicen de forma responsable' .20 La gobernanza empresarial y la gobernanza de TI establecen los límites globales de lo
que es factible dentro de la seguridad de la información. Como tal, la gobernanza se encuentra fuera y afecta a todos los aspectos del modelo BMIS. La
gobernanza empresarial, entre otras cosas, influye en la forma que adopta una organización, así como en la forma en que los elementos de Personas,
Procesos y Tecnología se unen para respaldar la misión y la estrategia de la organización. Por lo tanto, la DI rectora traduce los conceptos y medidas de
gobernanza existentes (a nivel del elemento de Organización), alentando a las organizaciones a cumplir con sus misiones y objetivos y a establecer
límites y controles a nivel de procesos.
Actuando como la conexión entre los elementos de Organización y Proceso, la DI Rectora (figura 8) representa la acción de poner en
práctica la gobernanza dentro de BMIS. Esto significa administrar el proceso mientras se implementa el sentido de dirección establecido por
la alta dirección. Si bien los dos elementos representan lo que se debe hacer y cómo hacerlo, este DI actúa como un catalizador para
lograrlo. La gobernanza se logra mediante la interconexión con el elemento Proceso. Las reglas y regulaciones, es decir, estándares y
pautas, se reflejan en el elemento Proceso a través dead hoc procedimientos y prácticas.
El circuito de retroalimentación que modifica activamente la DI Gobernante resulta de las otras DIs de Cultura y Arquitectura, actuando sobre el
diseño y la estrategia. Por ejemplo, en la medida en que el elemento Tecnología sea inadecuado para atender las necesidades de seguridad de la
organización, la Arquitectura DI creará 'tensión', distorsionando el modelo y resultando en la necesidad de cambios en el diseño que, a su vez,
modificarán la estrategia. que cambia la DI Rectora. Los cambios en la DI rectora modificarán los procedimientos y prácticas en el elemento Proceso.
Objetivos
Los procesos deben servir a los objetivos de la organización en un nivel aceptable de previsibilidad, es decir, riesgo. El acto de gobernar debe fijar el foco de lo
que se necesita lograr en los diversos procesos organizacionales (elemento Proceso) y al mismo tiempo establecer los límites de las actividades que mitiguen los
riesgos suficientemente. La gobernanza también debe abordar cuestiones de preservación organizacional o sostenibilidad, y
hágalo sin limitar innecesariamente la capacidad de la organización para prosperar y prosperar.
20 ISACA, Reunión informativa de la junta sobre gobernanza de TI, 2Dakota del Norte Edición, Estados Unidos, 2003

Figura 8 — Gobernante DI
ORGANIZACIÓN
GOBERNANTE
CULTURA ARQUITECTURA
PROCESO
APARICIÓN HABILITACIÓN Y APOYO
Enfoques
El gobierno abarca todas las actividades tácticas necesarias para lograr la estrategia de la organización dentro del contexto del diseño organizacional. Cualquier
actividad de gobierno que no cumpla con estos criterios será contraproducente y generará 'tensiones' excesivas que deberán resolverse mediante cambios en el
diseño y la estrategia o en la DI de Gobierno. El gobierno excesivo más allá de lo necesario para lograr los objetivos comerciales y limitar los riesgos a niveles
aceptables se convierte en una burocracia restrictiva, lo que reduce la adaptabilidad organizacional y la capacidad de recuperación para enfrentar situaciones
emergentes.
Las herramientas principales para gobernar son los estándares y las acciones de orientación que cumplen de manera demostrable con la intención de la política. Los
estándares que no proporcionan el conjunto correcto de límites y orientación resultarán en una exposición al riesgo inaceptable para la organización. Los estándares que son
demasiado restrictivos limitan innecesariamente las opciones de procedimiento y tienen un impacto negativo en la capacidad de recuperación, adaptabilidad y eficacia de la
organización. Asimismo, otras acciones orientadoras —que representan el gobierno en el sentido activo de la palabra— deben estar vinculadas a la estrategia organizacional y
los objetivos resultantes. Toda acción que se tome en materia de gobernanza debe tener una justificación y un fundamento claras, en particular aquellas que influyen y dan
forma a los procesos de seguridad. La gobernanza, y, por lo tanto, la DI Gobernante, incluye, entre otros:
• Políticas
• Estándares, pautas y otra documentación normativa
• Reglas de responsabilidad
• Asignación y priorización de recursos

• Métricas (para todo lo anterior)
• Cumplimiento (como tema general)
La comunicación es vital dentro de la DI Gobernante. El gobierno debe filtrarse en la organización a través de todos los niveles de gestión a través de los canales
adecuados. Para lograr una eficacia óptima, debe ser intrínseco a la cultura, así como a las prácticas y procesos de la organización. Los requisitos de seguridad, a
menudo simplemente buenas prácticas, deben abordarse en todas las descripciones de puestos y esas responsabilidades y responsabilidades deben reforzarse
de manera continua a través de campañas de capacitación y concientización.
Muchos de los problemas que aborda la seguridad de la información resultan simplemente de un diseño o proceso deficiente o inadecuado o del fracaso de la
cultura para valorar la conciencia de manera suficiente, a menudo un resultado de centrarse únicamente en el desempeño. Si no se controlan, los procesos
pueden cambiar con el tiempo y desarrollar sus propios fines y medios, principalmente para lograr objetivos mal entendidos o para adaptarse a un aumento

presión. Gobernar requerirá realinear todos los procesos con los objetivos del negocio y la cantidad de riesgo asociado con hacer
negocios. Es responsabilidad de la gerencia promulgar posteriormente los procesos y ser consciente de los riesgos y los objetivos
generales.
La gestión de riesgos eficaz exige un liderazgo estratégico, y la responsabilidad y la rendición de cuentas por la seguridad deben estar
directamente en manos de la junta y los ejecutivos de la alta dirección. En muchas empresas, la seguridad se considera un problema técnico
de bajo nivel (o incluso de TI) más que un requisito estratégico. El resultado ha sido evidente en los titulares continuos que informan sobre
compromisos de seguridad cada vez más espectaculares. Una vez más, BMIS inserta la DI Gobernante como un medio para lidiar con las
tensiones que puedan existir entre la estrategia organizacional y los procesos de seguridad. Por ejemplo, los procesos sujetos a una
reducción de costos exagerada pueden resultar de una estrategia ambiciosa de reducción de costos que ha sido establecida por la alta
dirección. En este caso, gobernar es el acto de definir niveles de seguridad 'imprescindibles',
Todas las actividades de gobierno deben ser explícitas y son una parte necesaria del diseño y la estrategia organizacional con vínculos definidos entre el
diseño, la estrategia y el proceso.
Los marcos / estándares que apoyan la DI Gobernante incluyen:

• COBIT21
• Val IT
• Línea de base de seguridad de COBIT
• Arriesgalo
• Principios de gobierno corporativo de la OCDE

• Serie ISO 27000: sistemas de gestión de seguridad de la información
• Marco de gestión de riesgos empresariales de COSO
• NIST SP 800-53: controles de seguridad recomendados para los sistemas de información federales, para más problemas relacionados con TI
Cultura
Si bien la tecnología y las políticas siguen siendo ingredientes importantes para asegurar la información empresarial, se ha vuelto obvio que no son
suficientes por sí solas. Cultura (figura 9) es uno de los DI que separa a BMIS de otros modelos de seguridad. Al abordar la cultura y su impacto en el
comportamiento, BMIS proporciona una imagen más completa de la empresa. El impacto de la cultura en las personas es un tema clave en la
seguridad de la información, ya que las personas pueden contribuir a la seguridad de la información o, por el contrario, comprometerla.
La Cultura DI afecta y se ve afectada por los elementos de Organización y Personas, relaciones lógicas porque la cultura interna de
la empresa puede estar relacionada con las influencias culturales en el individuo. La sinergia entre los recursos humanos y la
organización es la base de la cultura corporativa.
¿Que es cultura?
La cultura organizacional es un tema ampliamente documentado para el que se han publicado muchas definiciones. La definición que utiliza BMIS es: "La cultura es
un patrón de comportamientos, creencias, suposiciones, actitudes y formas de hacer las cosas".22 La palabra patrón es clave en esta definición. Las culturas están
formadas por individuos, pero no necesariamente representan comportamientos individuales. Es la cultura la que influye en los comportamientos individuales y
grupales. Al usar BMIS, hay que considerar dos niveles de cultivo. La cultura organizacional se forma a lo largo del tiempo por la estrategia, el diseño
organizacional y los comportamientos de las personas en el trabajo. La segunda capa se encuentra en la cultura individual de las personas, que puede ser diversa y
heterogénea. Ambas capas deben tenerse en cuenta al ver la Cultura como una DI que influye en la seguridad.
Las personas son la clave de la cultura y la cultura, a su vez, crea un conjunto de percepciones en las personas. Además de los factores organizativos internos
como la compensación, el elogio, las perspectivas de promoción y otras políticas de gestión, las percepciones se ven influidas por factores externos a la empresa,
como la religión, el origen étnico, los antecedentes socioeconómicos, la ubicación geográfica y las experiencias personales. Estos factores externos, que en la
superficie pueden no parecer tener mucho impacto en las operaciones diarias, se manifiestan en comportamientos que se llevan al lugar de trabajo y, a menudo,
son mucho más importantes de lo esperado, ya que forman la base de los comportamientos en el lugar de trabajo.
y normas.
21 COBIT se ha asignado a muchos de estos estándares para facilitar la integración: www.isaca.org/cobitmapping.

22 Kiely, L .; TV Benzel; 'Gestión de la seguridad sistémica',Seguridad y privacidad, IEEE, vol. 4, no. 6, 2006, pág. 74-77

Figura 9 — Cultura DI
ORGANIZACIÓN
CULTURA
GOBERNANTE ARQUITECTURA
GENTE
APARICIÓN FACTORES HUMANOS
Para mejorar el programa de seguridad de la información, los gerentes deben examinar y comprender la
Para mejorar el programa de seguridad cultura que existe dentro de la empresa, y luego deben extender las fortalezas de la cultura y reconocer o
de la información, los gerentes deben mejorar sus debilidades para crear una cultura que sea verdaderamente intencional en su enfoque de la
seguridad. No es una tarea fácil mejorar o cambiar una cultura establecida y que ha operado de una
examinar y comprender la cultura que manera particular durante un período de tiempo; sin embargo, es un paso fundamental para mejorar la
existe dentro de la empresa, y luego postura general frente al riesgo de cualquier empresa. Los pasos posteriores para crear una cultura de
seguridad van más allá de la mera comprensión de la cultura existente. Sin embargo, darse cuenta de lo
deben extender las fortalezas de la que ya existe es un primer paso importante. Cambiar o mejorar una cultura organizacional general es un
cultura y reconocer o mejorar sus esfuerzo que, por definición, es limitado, ya que es poco probable que las personas en sí mismas cambien
drásticamente. Por lo tanto, Es importante reconocer las limitaciones de cambiar la segunda capa (de
debilidades para crear una cultura que sea personas) de la cultura. Sin embargo, es posible cambiar la primera capa, que es la comprensión
verdaderamente intencional en su enfoque

organizacional del comportamiento esperado y la comprensión de la seguridad, y este debería ser el
objetivo de los pasos que se tomen para formar la cultura de seguridad.
a la seguridad.
Las culturas son tan diferentes en las organizaciones como las características subyacentes que las forman. La cultura corporativa a menudo se
considera un producto creado por la alta dirección a través de reglas. Si bien es cierto que el liderazgo tiene una fuerte influencia sobre la cultura de la
empresa, la cultura en realidad es creada por los patrones de comportamiento y actitudes de las personas, que están influenciados por sus
percepciones y creencias y, a veces, incluso por hábitos y tradiciones.
La investigación de gestión de seguridad sistémica (SSM) identifica seis aspectos de la cultura que son de particular importancia para los problemas de seguridad de la
información, y el marco de riesgo de TI de ISACA agrega un séptimo:
• Reglas y normas
• Tolerancia para la ambigüedad
• Distancia de poder
• El factor de cortesía
• Contexto
• Colectivista vs. individualista23
• Asunción de riesgos frente a aversión al riesgo24
23 Kiely y Benzel, op. cit.
24 ISACA, El marco de riesgo de TI, Estados Unidos, 2009, pág. 22. La cultura del riesgo forma una parte importante del pensamiento sobre seguridad.

Si bien algunos de estos aspectos pueden parecer familiares, también destacan conceptos menos comunes como el factor cortesía, en el que las
personas tienen miedo de corregir a sus superiores o compañeros para no avergonzarlos; la tolerancia a la ambigüedad, que examina qué tan bien la
empresa se enfrenta a lo desconocido y al cambio; y la mentalidad colectivista versus individualista, que se centra en cómo alejar a los empleados de
"mí" para centrarse en "nosotros".
Además de los aspectos mencionados, las empresas deben considerar el efecto de factores como la ubicación geográfica, la etnia y
la religión. Por ejemplo, muchos países, ya sea a través de las influencias de la religión o la tradición, tienen una cultura de
confianza. Los valores predeterminados de la administración son confiar en la integridad de los empleados, proveedores y clientes.
Algunos consideran que la confianza es la base misma de los negocios, ya que la confianza es la voluntad de una parte de ser
vulnerable a las acciones de otra parte, basándose en la expectativa de que la otra realizará una acción particular importante para la
primera parte. En un momento, cuando el mundo de las finanzas, el comercio y la industria era más estable, estos rasgos podrían
haber sido una suposición razonable. Sin embargo, en un entorno de globalización, esta es un área a la que el gerente de seguridad
de la información debe prestar mucha atención.
Debido a que todas las culturas empresariales (la primera capa de cultura vista desde una perspectiva de seguridad) tienen su propio sabor, es importante que el
gerente de seguridad de la información comprenda que lo que es mejor para la organización es importante para la cultura de seguridad: si las personas son
leales a la empresa, es más probable que manejen la información de manera segura. Las estrategias y los objetivos bien establecidos y bien comunicados pueden
ayudar a las organizaciones a crecer desde la perspectiva del "yo" a la perspectiva del "nosotros". Idealmente, esto significa que, independientemente de las
políticas y procedimientos formales de seguridad, es probable que las personas desarrollen una perspectiva consciente sobre la protección de la información, tal
como lo harían al proteger sus propios hogares. Sin embargo, esto implica que la administración y el personal compartan un entendimiento común; solo donde
la cultura empresarial no solo se entiende, sino que se comparte,
Ejemplo
En una empresa asiática que proporciona servicios subcontratados a muchas empresas europeas y estadounidenses, la seguridad parece haber sido
bien comunicada, documentada y 'vivida'. Una inspección no planificada revela que el día anterior a la auditoría anunciada, la mayoría de las
reglas de seguridad se infringen abiertamente y hay una diferencia significativa entre la situación observada y la vista en auditorías
anteriores. Al entrevistar a la dirección, el auditor se entera de que "la visita no se había anunciado y estaba prevista para el día siguiente".
Desde la perspectiva de BMIS, este ejemplo muestra dos cosas. Primero, la cultura tal como se define y se comunica es algo que el personal y la gerencia locales
han entendido, pero no internalizado. Parece que las expectativas de los clientes se cumplen de la mejor manera posible, pero solo cuando se lleva a cabo una
auditoría o existe algún otro mecanismo de vigilancia. En todos los demás casos, las expectativas de seguridad expresadas por el cliente son, en el mejor de los
casos, vistas como extrañas y cortésmente ignoradas. En segundo lugar, la cultura individual de las personas, y quizás la cultura local en su conjunto, son
obviamente completamente diferentes de la cultura predominante en los países de origen de los clientes. Esto crea una tensión considerable en la Cultura DI
del modelo.
Para resolver estas discrepancias culturales, BMIS indicaría acciones en la Cultura DI, por ejemplo, mediante la inserción de personas expatriadas en la
gestión de la seguridad o la adscripción de gerentes de seguridad locales a los países de origen de las empresas que subcontratan a Asia.
Independientemente del modelo de seguridad aplicado, es probable que este proceso de lenta adaptación cultural pueda llevar mucho tiempo.

Ejemplo
En una empresa de fabricación en Alemania, la gestión de seguridad observa la aparición frecuente de infecciones de virus, malware y aplicaciones no
autorizadas que se descargan en la red corporativa. Durante mucho tiempo, la alta dirección ha mantenido una estricta política de seguridad, junto
con una cultura de orientación detallada y aplicación de amplio alcance, incluida la acción disciplinaria y el despido. Una auditoría revela que, con el
uso cada vez mayor de la web y las aplicaciones web 2.0, los empleados han comenzado a correr riesgos mayores sin darse cuenta. Como resultado,
el número de incidentes de seguridad ha aumentado significativamente. Hay una tensión obvia en la Cultura DI.
Un análisis desde la perspectiva de BMIS muestra que existe una "vieja" cultura de seguridad que no es infrecuente en las empresas manufactureras:
la seguridad estricta es parte del modelo de negocio y todos los secretos comerciales están bien protegidos. Esta cultura protectora es obviamente
bien comprendida y aceptada por los empleados, ya que el problema parece estar centrado en TI y no en los otros procesos comerciales. La 'nueva'
cultura de seguridad, por otro lado, aún no se ha formado y los empleados parecen estar usando la web de una manera desprotegida y sin guía. Han
sido entrenados para trabajar de acuerdo con un conjunto estricto de reglas y están menos equipados para actuar con cautela cuando no hay reglas.
Esto lo confirman los empleados que afirman que "no lo hicieron a propósito".
En este ejemplo, el problema de las violaciones a la seguridad de la información se resuelve más tarde contratando a un consultor externo que capacite a los
empleados "en el trabajo". Se configura una red encapsulada que simula el uso típico de la web y las aplicaciones web 2.0. Los empleados reciben
demostraciones prácticas de cómo implementar un virus, cómo insertar malware, etc. Después de algunas sesiones, que resultan ser muy divertidas para
los empleados que reciben capacitación, el número total de incidentes de seguridad disminuye drásticamente.
Si bien las culturas empresariales son únicas, se incluyen en ciertas categorías. Cada una de estas categorías tiene características que describen la forma en
que interactúan las personas asociadas con la empresa, la priorización de la creatividad y la innovación en la forma en que opera la empresa, la capacidad de
la empresa para lidiar con la ambigüedad y su tolerancia y flexibilidad con respecto al cambio. Estas características forman la base de la cultura de la
organización y, a menudo, forman parte de los valores fundamentales de la empresa.
Ejemplo
En una cultura jerárquica o militarista, la idea dominante es la de mando y control. El estricto cumplimiento de las órdenes es un hecho y las
decisiones se toman de manera estrictamente jerárquica y de acuerdo con el rango. La dirección ejecutiva rechaza sus creencias y preferencias y
dirige el negocio de acuerdo con esas creencias. Este tipo de organizaciones tienen estructuras definidas y pueden dejar poco espacio para las
aportaciones o la innovación de los empleados. La ventaja percibida de estas culturas rígidas es el funcionamiento predecible de grandes grupos de
personas en un nivel definido. Las fuerzas militares, particularmente en tiempos de paz, a menudo se consideran burocráticas, lentas e ineficientes.
Sin embargo, su propósito principal es un funcionamiento eficiente y completamente predecible en tiempo de guerra, por lo que no hay sorpresas y
así se garantiza una confiabilidad total.
Otras culturas son de naturaleza más igualitaria, consideran que todo el personal es igual y consideran que las reglas son menos importantes que la productividad. En estos
casos, puede haber una falta de estructura y las personas a menudo se dejan a su suerte en cuanto a cómo entregar. Las preocupaciones de seguridad suelen ser evidentes
porque las personas eligen eludir los controles o procedimientos existentes para producir resultados rápidamente. Es posible que la seguridad no se aplique de manera
consistente, por lo que los comportamientos se convierten en normas y la seguridad generalmente se evita.
Existen problemas en ambos tipos de atmósferas. Por ejemplo, dentro de una cultura jerárquica, la distancia de poder es alta. En esta situación, la
dirección ejecutiva tiende a ser autoritaria y exige que los empleados se adhieran a reglas estrictas. Los empleados pueden seguir las políticas de
seguridad por temor a las consecuencias. Esta cultura no ayuda a los empleados a apreciar o comprender la seguridad. Puede surgir la percepción de
que la seguridad dificulta las cosas o actúa como un obstáculo para hacer el trabajo.
Asimismo, una empresa en la que la dirección laissez-faire y centrado principalmente en la productividad tiene una distancia de potencia menor,
es decir, puede carecer de estructura y políticas bien definidas o puede tener políticas que no se hacen cumplir. La percepción es que la seguridad
es opcional o secundaria a la realización del trabajo.
Como puede verse, ningún tipo de entorno contribuye a una cultura de seguridad "mejor". De hecho, ambos dan lugar a problemas potencialmente graves. En el
primer ejemplo (una cultura con una gran distancia de poder), los empleados pueden estar tan atados a la política por temor al incumplimiento que es posible
que no puedan reconocer un problema emergente o una amenaza indocumentada como un posible riesgo para los activos de información de la empresa.
Siempre que hayan seguido las reglas, se sentirán seguros sin tener que pensar "fuera de la caja". Del mismo modo, en una cultura con una distancia de poder
baja, las personas pueden ignorar los procedimientos o evitar los controles para hacer su trabajo más rápido, creando riesgos potenciales. Cuando se enfrenta a
un incidente de seguridad, es probable que la gente señale que 'la seguridad no es para lo que estamos aquí; tenemos un trabajo que hacer'. Un equilibrio entre
estos dos tipos de entornos probablemente crearía una mejor cultura de seguridad. Sin embargo, la mayoría de las empresas no tienen la combinación perfecta
de flexibilidad y estructura, por lo que se necesita un cambio.

Creando la cultura de la seguridad

La cultura organizacional afecta a todo el sistema empresarial. Estar preparado para afrontar el cambio es Al implementar expectativas y
fundamental. Algunos tipos de culturas están más abiertos a lidiar con el cambio que otros. Dado que la
deseos en una cultura de seguridad, las
cultura es a menudo el factor más importante que explica el éxito o el fracaso de una organización,25 Es de
vital importancia que los profesionales de la seguridad se esfuercen por crear una cultura que no solo se organizaciones pueden utilizar la
dé cuenta de la importancia de la seguridad de la información, sino que también incorpore la seguridad
cultura para mejorar realmente
de la información en sus operaciones diarias. Al implementar expectativas y deseos en una cultura de
seguridad, las organizaciones pueden utilizar la cultura para mejorar realmente la seguridad empresarial. seguridad empresarial.
Crear una cultura consciente de la seguridad no es una tarea fácil ni rápida, sino un objetivo a largo plazo que debe ser considerado por todos dentro de la
empresa. Las personas son un componente constante de la protección de la información. Todas las personas que integran una empresa, desde la junta
directiva y los ejecutivos hasta el personal de todos los niveles, y las empresas con las que la empresa tiene relaciones con terceros tienen la capacidad de
mejorar la seguridad de la información o de debilitarla. Si las personas se comportan pensando en la seguridad e incorporan prácticas de seguridad de la
información en sus actividades diarias, hay muchas más posibilidades de mantener protegidos los activos de información de la empresa.
Las personas generalmente no son malintencionadas, pero a veces desconocen las políticas de seguridad, no están seguras de cómo ponerlas en
práctica o no están dispuestas a seguir los protocolos de seguridad. La conciencia y la educación sobre seguridad son útiles y necesarias, pero no
adecuadas por sí solas. El cambio real debe ocurrir en la primera línea de la organización donde se establece la cultura. Independientemente de la
cultura actual de una empresa, es importante comprender que la cultura se puede cambiar, y este cambio, de la reactividad a la proactividad, y luego
de la proactividad a la seguridad intencional y consagrada, debe considerarse un objetivo central del programa de seguridad.
Al influir en la cultura de una empresa para que sea más propicia para la seguridad de la información, las fortalezas de BMIS pueden aprovecharse para mejorar la
postura de seguridad general de la empresa. Los cambios culturales deben considerarse en todo el sistema. En otras palabras, mejorar la cultura no se logra
simplemente instituyendo un programa sólido de concientización y capacitación, obteniendo la aceptación de los ejecutivos o cambiando los procedimientos para
incorporar prácticas seguras. Todas estas medidas, y más, son necesarias para cambiar efectivamente una cultura a lo largo del tiempo.
Algunos primeros pasos para mejorar la cultura para que sea más favorable a la seguridad pueden incluir los siguientes:
• Trabajar para establecer un programa sólido de seguridad de la información que incluya la participación de los líderes empresariales y los líderes funcionales de las unidades
de negocios. Encuentre líderes influyentes en toda la empresa para ayudar a transmitir mensajes clave.
• Establecer, comunicar y hacer cumplir políticas de seguridad claras.
• Fomentar la colaboración entre las unidades de negocio, reduciendo así la gestión en silos.
• Trabajar para que las responsabilidades de seguridad se incluyan en las descripciones de los puestos y en las revisiones anuales de desempeño para todos.
• Obtenga consenso sobre metas y objetivos claros.
• Proporcionar el conocimiento, las herramientas y las habilidades que las personas necesitan para manejar eficazmente los activos de información.
• Desarrollar procesos consistentes para el manejo y el intercambio de información.

• Desarrollar entrenamiento de escenarios para influir en el cambio de creencias y actitudes.
• Trabajar para cambiar las percepciones negativas de la seguridad.
• Comunicarse, comunicarse, comunicarse.
Como se mostró anteriormente, cambiar una cultura requiere muchas actividades que son constantes y consistentes e involucran a personas en todos los niveles
de la empresa. La coherencia ayudará a garantizar que las actividades comiencen a evocar un comportamiento deseable que se transforme en normas no escritas
(y luego escritas). Los pequeños cambios intencionales pueden tener efectos en cascada en toda la empresa. El aumento de la colaboración entre grupos puede
aumentar la confianza y unir a las personas con un objetivo común. Una vez que las personas comienzan a trabajar juntas, pueden comenzar a compartir
experiencias, lo que ayudará a mejorar las relaciones y actitudes y demostrará puntos en común.
La cultura de la seguridad madura a medida que los patrones de comportamiento se ajustan de modo que la seguridad se arraiga en las actividades diarias. A medida que se
amplía la formación y la conciencia, la conciencia aumenta y las unidades o grupos de negocios individuales comienzan a trabajar juntos hacia un objetivo común: los
comportamientos, creencias y actitudes cambiarán. Una vez que esto ocurra, estos comportamientos se transmitirán a las nuevas generaciones de empleados como normas
y reglas. Aquí es cuando se puede ver el verdadero cambio.
Si bien suena como una tarea abrumadora (y lo es), es posible cambiar el ADN de la empresa. Los beneficios de crear una cultura consciente y
propicia para la seguridad se aplican no solo al gerente de seguridad, sino que también se extienden a la empresa; sus socios; y,
lo más importante, sus clientes.
25 Trato, Terrence E .; Allen A. Kennedy;Culturas corporativas: los derechos y rituales de la vida corporativa, Boston: Addison-Wesley, Estados Unidos, 1982

Arquitectura
Arquitectura (figura 10) es el DI que conecta los elementos de Organización y Tecnología. Si bien la arquitectura a menudo se equipara a la infraestructura
cuando se trata de seguridad o TI, es importante tener en cuenta que la arquitectura constituye mucho más que eso. En muchos aspectos, la arquitectura de
seguridad de la información es análoga a la arquitectura de seguridad y protección asociada con los edificios.
Figura 10 — Arquitectura DI
ORGANIZACIÓN
ARQUITECTURA
CULTURA GOBERNANTE
TECNOLOGÍA
HABILITACIÓN Y APOYO FACTORES HUMANOS
La arquitectura comienza como un concepto, un conjunto de objetivos de diseño que deben cumplirse (por ejemplo, la función que cumplirá; si
será un hospital, una escuela, etc.). Luego progresa a un modelo, una aproximación aproximada de la visión forjada a partir de materias primas
(servicios). A esto le sigue la preparación de planos detallados, herramientas que se utilizarán para transformar la visión / modelo en un producto
real y terminado. Finalmente, está el edificio en sí, la realización o salida de las etapas anteriores. Según ISACA
Manual de revisión del CISM:
La noción subyacente para toda la arquitectura es que los objetivos de los sistemas complejos deben definirse de manera integral; tener
especificaciones precisas desarrolladas; hacer que sus estructuras sean diseñadas y probadas para determinar su forma, ajuste y función; y
hacer que su desempeño sea monitoreado y medido en términos de los objetivos y especificaciones del diseño original.26
ISO / IEC 42010: 2007 define la arquitectura como:
La organización fundamental de un sistema, incorporada en sus componentes, sus relaciones entre sí y con el
medio ambiente, y los principios que rigen su diseño y evolución.
Existen varios enfoques específicos para la seguridad y la arquitectura empresarial, que generalmente se pueden clasificar como marcos o
modelos de procesos. Si una arquitectura empresarial incluye los objetivos de seguridad de la organización, inherentemente establece el
escenario para la arquitectura de seguridad detallada. Sin embargo, separar los elementos de seguridad de la arquitectura general no ayuda a la
integración, que es el objetivo general de BMIS. Si bien se encuentran disponibles varios enfoques para la empresa y, específicamente, las
arquitecturas de seguridad, uno de los más comunes es el marco de arquitectura de grupo abierto (TOGAF). Otro enfoque ampliamente aceptado
es el marco empresarial Zachman27 y el marco de seguridad derivado de Sherwood Applied Business Security Architecture (SABSA).
26 ISACA, Manual de revisión del CISM 2011, EE.UU., 2010, sección 3.13.2, Objetivos de las arquitecturas de seguridad de la información, p. 178
27 www.zachmaninternational.com

Dado que BMIS es un modelo que abarca varias áreas amplias, los primeros pasos para utilizarlo deben ser simples y directos. Como resultado, para los
propósitos de este documento, el marco Zachman para la arquitectura empresarial, ampliamente inclusivo y de fácil aplicación, es un buen punto de
partida. Este marco se suma a BMIS al proporcionar niveles definidos de arquitectura y componentes dentro de estos niveles.
En el marco de Zachman, cada elemento se muestra en relación con el nivel superior, los aspectos menos detallados y con los niveles inferiores con
mayor granularidad. La jerarquía de seis capas se muestra como contextual, conceptual, lógica, física, de componentes y operativa. Cada capa muestra
las relaciones e interacciones de sus componentes. La capa superior (contextual) está conectada directamente con el diseño organizacional, mientras
que las capas física, de componentes y operativa se vinculan con el elemento de Tecnología.
Más allá de la definición algo abstracta de ISO, la arquitectura en el sentido funcional e inclusivo podría describirse mejor como una agrupación de
diseños relacionados desde diferentes perspectivas en varios niveles de detalle. Para BMIS, solo los tres niveles superiores de Zachman Enterprise
modelo debe ser considerado, como se muestra en figura 11.
Figura 11 — Zachman Enterprise FrameworkTM
QUÉ CÓMO DONDE OMS CUÁNDO POR QUÉ
Identificación de inventario Identificación de procesos Identificación de la red Identificación de la organización Identificación de tiempo Identificación de la motivación
p.ej p.ej p.ej p.ej p.ej p.ej
ALCANCE ESTRATEGIAS
Tipos de inventario Tipos de proceso Tipos de red Tipos de organización Tipos de tiempo Tipos de motivación
Definición de inventario Definición de proceso Definición de red Definición de organización Definición de tiempo Definición de motivación
p.ej p.ej p.ej p.ej p.ej p.ej
EJECUTIVO
NEGOCIO
LIDERES
Entidad de negocios Transformación empresarial Ubicación de la empresa Rol de negocio Ciclo comercial Fin del negocio
Relación de negocios Entrada comercial Conexión comercial Trabajo empresarial Momento de negocios Medios comerciales
Representación de inventario Representación de procesos Representación de la red Representación de la organización Representación de tiempo Representación de la motivación
p.ej p.ej egeg p.ej p.ej
SISTEMA ARQUITECTOS
Entidad del sistema Transformación del sistema Ubicación del sistema Rol del sistema Ciclo del sistema Fin del sistema
Relación del sistema Entrada del sistema Conexión del sistema Trabajo del sistema Momento del sistema Medios del sistema
Especificación de inventario Especificación de proceso Especificación de red Especificación de la organización Especificación de tiempo Especificación de motivación
Fuente: www.zachmaninternational.com
El nivel más alto (contextual) define la relación de una estructura con su entorno. En términos de un edificio, esto equivaldría a una representación del
edificio en su entorno con carreteras, estacionamientos, árboles, etc. La misma noción se aplica a la seguridad de la información. Reside dentro del
contexto de la organización, y la arquitectura contextual describirá su relación con la organización: en qué parte de la estructura existe: su relación con
otras entidades organizativas como finanzas, legal, marketing y / o operaciones.
En este nivel, Architecture DI existe para garantizar que la seguridad de la información empresarial cumpla con las leyes y regulaciones del país, así
como con las especificaciones del sector industrial, incluidas las expectativas y requisitos de los clientes o socios. Además, se pueden considerar los
estándares de seguridad de la información que se consideran mejores prácticas. La Arquitectura DI también apoya la estrategia organizacional al
reconocer los objetivos estratégicos y sus implicaciones para la arquitectura de seguridad de la información y las soluciones tecnológicas.
El siguiente nivel hacia abajo, por debajo de la arquitectura contextual, es el nivel conceptual, que es el edificio equivalente al exterior de un
edificio desde varias perspectivas denominadas elevaciones. Para la seguridad de la información, esto definirá cómo se ve la función general,
sus dimensiones y alcance. Indicará puntos de entrada y salida (puertas) y puntos de visibilidad (ventanas).
El nivel conceptual para la seguridad de la información asegura que la tecnología (física y lógica) no solo apoyará, sino que permitirá activamente los
objetivos de seguridad. Este nivel contiene un conjunto de actividades y tecnologías de seguridad interrelacionadas, cooperativas e integradas que
trabajan para lograr un objetivo de seguridad común.
El siguiente nivel (lógico) de arquitectura para la seguridad es similar al plano de un edificio. Muestra las relaciones internas y la
actividad fluye entre ellas.
El nivel lógico especifica el diseño más detallado de los componentes de seguridad, utilizando tecnología para asegurarse de que alcancen los objetivos
definidos, sean resistentes a los ataques e incluso sufran daños. En el nivel lógico, se crea el plan de arquitectura general que da un sentido de dirección a la
gestión del lado de la tecnología y describe claramente qué hacer. También tiene como objetivo garantizar que el resultado de una tecnología de seguridad se
comunique adecuadamente (en tiempo y formato) a las otras tecnologías que la utilizan, proporcionando la retroalimentación más efectiva y eficiente del
proceso de seguridad sobre la tecnología y logrando su objetivo final sin demoras indebidas. .

Sin embargo, las arquitecturas de seguridad y tecnología dependen no solo de los objetivos comerciales, sino también de la arquitectura general de la
información. Los flujos de información de un punto de la empresa a otro deben considerarse en detalle. Además, el almacenamiento y la recuperación de
información son una parte intrínseca de la arquitectura de seguridad.
Los conceptos y consideraciones de la arquitectura de un edificio también deben incluirse en los aspectos de seguridad de una arquitectura
empresarial. Estos incluyen elementos como la capacidad de expansión (escalabilidad) y la utilidad para una variedad de propósitos (adaptabilidad). La
arquitectura empresarial debe incluir y permitir:
• Espacio de evolución y mejora—La arquitectura debe permitir los cambios inevitables en la organización y sus actividades, así como las
actualizaciones y mejoras a lo largo del tiempo. Además, cuando la tecnología trae nuevas posibilidades, la arquitectura alimentará el diseño y la
estrategia de la organización para proporcionar el incentivo para una evolución que puede haber estado en un estado de espera, tanto conceptual
como lógicamente.
• Espacio para reaccionar ante cambios de contexto—El contexto es el panorama empresarial en el que opera la arquitectura. El contexto cambiará
inevitablemente. La adaptabilidad, la resiliencia y la robustez son atributos que deben considerarse e incluirse en las actividades de diseño. La arquitectura
asegura que la tecnología resistirá los cambios, al igual que un edificio es resistente a ataques o terremotos. Si la Arquitectura puede alimentar a la
Organización con algunas características específicas de la tecnología para respaldar o fortalecerse a partir de eventos, esto mejorará la capacidad de
reacción del negocio para seguir los cambios propuestos, requeridos o impuestos (por ejemplo, debido a una crisis).
• Aptitud para el propósito—Las implementaciones de tecnología a menudo no cumplen con los requisitos comerciales porque no se entendió o se ignoró el
contexto. Así como la arquitectura de un edificio debe considerar si se utilizará como iglesia o como instalación de enlatado de atún, la arquitectura
empresarial debe comprender claramente los objetivos comerciales para los que se utilizará la tecnología. Cuanta más tecnología sea adecuada para su
propósito, mayor será la posibilidad de que los objetivos de seguridad empresarial sean respaldados / habilitados por una tecnología adecuada.
• Eficacia y eficiencia—La efectividad y la eficiencia en la seguridad de la información requieren que las soluciones tecnológicas relacionadas estén
equipadas con los indicadores que miden el estado y el logro de los objetivos esperados. Los costos asociados con el uso de tecnología para la
seguridad también se tienen en cuenta por arquitectura: adquisición, implementación, operación, monitoreo, mantenimiento y administración. El
costo es un conjunto combinado de todos los recursos involucrados: finanzas, tiempo y personas.
• Coherencia con políticas y estándares—La arquitectura debe articular políticas además de abordar los requisitos comerciales. La
arquitectura garantiza que la tecnología siga siendo coherente con las políticas y los estándares, y ayuda a mantener actualizadas las
soluciones tecnológicas a través de la DI de habilitación y soporte. Si las soluciones tecnológicas previnieran u obstaculizaran el logro de
los objetivos de las políticas y normas, se crearía un problema grave que la Organización tendría que resolver. La convergencia, coherencia
y consistencia entre todos los componentes de seguridad (los otros tres elementos y los otros cinco DI) son objetivos críticos para asegurar
la efectividad y eficiencia del plan de seguridad y su gestión.
• Mantenibilidad y usabilidad—El buen diseño debe considerar cómo se desarrollarán y mantendrán los sistemas a lo largo del tiempo. La tecnología, si no
cambia, envejecerá rápidamente y se volverá obsoleta. Como resultado, el mantenimiento debe planificarse en la Arquitectura.
DI. Después de un período de tiempo determinado, tanto el mantenimiento preventivo (para evitar la degradación y la obsolescencia) comoad hoc Se requiere
mantenimiento (en situaciones imprevistas) para desarrollar adecuadamente el elemento Tecnología.
Dado que la tecnología debe seguir siendo utilizable y fácil de usar para que las personas no se vean
obstaculizadas en sus actividades de seguridad diarias, Architecture DI debe garantizar que el progreso esté
La arquitectura debe garantizar que el
integrado en el sistema para adaptarse a las demandas cambiantes.
progreso se integre en el sistema para

En BMIS, Arquitectura es el DI entre Organización y Tecnología. La interacción entre estos
adaptarse a las demandas cambiantes.
elementos es bidireccional, cada uno influyendo sobre el otro. El diseño organizacional y su
estrategia comercial proporcionan los impulsores y las limitaciones a través de la
Arquitectura DI para TI y el entorno de operaciones físicas. Éstas incluyen:
• Tamaño—El alcance y la carta de la seguridad tecnológica son funciones del diseño organizacional y la estrategia comercial. En seguridad, el
tamaño representa la parte o proporción que cada tecnología proporcionará para lograr los objetivos de seguridad sin dejar de ser actual.
• Capacidad (estática y dinámica)—La capacidad operativa de las soluciones tecnológicas es una función importante de los requisitos de seguridad
empresarial. La planificación de la capacidad para operaciones futuras es, a su vez, una función de la estrategia comercial y los requisitos anticipados. Esto se
relaciona con la planificación de la capacidad física y la planificación de la capacidad lógica.
• Funciones y responsabilidades—Las funciones, responsabilidades y actividades operativas se definen en la arquitectura como una función del diseño
organizacional y los requisitos comerciales anticipados. La tecnología también debe garantizar que la seguridad de la información respalde la segregación de
la información cuando y donde sea necesario, para que los roles y funciones comerciales no sean contradictorios.
• Operaciones centralizadas y descentralizadas—La arquitectura debe tener en cuenta la forma y estructura de la organización general. En
términos de seguridad, las estructuras centralizadas (jerárquicas) varían significativamente de las estructuras organizativas descentralizadas
(planas) y requieren una arquitectura de seguridad diferente.
Las soluciones tecnológicas aplicadas deben seguir los requisitos comerciales. Esto incluye la coubicación física, el trabajo descentralizado y el teletrabajo, yad
hoc grupos de trabajo que se forman a intervalos poco frecuentes. La infraestructura de enrutamiento y firewall es un buen ejemplo: en una estructura
organizativa fuertemente descentralizada, existe una necesidad más urgente de flexibilidad en la conmutación, el enrutamiento y el firewall.

Por el contrario, la seguridad tecnológica puede permitir la centralización de operaciones seguras, incluso cuando las ubicaciones físicas están
distribuidas geográficamente, a veces en diferentes países o en otros continentes. Ejemplos de una estrategia de centralización virtual expresada en
la arquitectura de seguridad son las redes privadas virtuales (VPN) a través de redes de área amplia (WAN) o redes públicas, videoconferencias
seguras y redes oscuras seguras.
• Necesidades de calidad y seguridad—La arquitectura organizacional determina el nivel mínimo requerido de calidad de los servicios de seguridad (QoSS) y
los parámetros de diseño de los controles de seguridad, incluida la política. El elemento Organización identifica los niveles de calidad deseados sobre la base
de los requisitos comerciales y los objetivos de seguridad, que luego se reflejan en las soluciones tecnológicas. Una vez más, la arquitectura traduce los
objetivos organizacionales en la tecnología "correcta" e informa a la tecnología en términos de la calidad de servicio requerida.
El elemento Tecnología debe proporcionar retroalimentación e influir en el elemento Organización en forma de medidas y métricas. Algunas de las
principales influencias en el diseño y la estrategia organizacionales incluyen:
• Costo y valor—¿Cuál es el costo (adquisición, implementación, operación, gestión, mantenimiento) de la tecnología de seguridad? ¿Cuál es el
valor agregado de la tecnología de seguridad de la información para la empresa al permitir establecer objetivos?
• Capacidad—¿Es la tecnología capaz de brindar el servicio de seguridad requerido? ¿Cuándo será eso posible? ¿Qué se puede hacer para reducir el tiempo
necesario para alcanzar la plena capacidad?
• Agilidad—¿Será la tecnología lo suficientemente ágil y versátil para seguir las cambiantes demandas de seguridad de la organización, los procesos y las
personas? ¿Qué tan rápido deberían ocurrir estos cambios? ¿Hay períodos de tiempo en la vida útil de las soluciones tecnológicas en los que los cambios
serán más difíciles o más fáciles de lograr?
• Disponibilidad—Los negocios requieren conectividad y disponibilidad constante de información. Si bien la seguridad tiene la responsabilidad de proteger la
información, también tiene la responsabilidad de garantizar que la información esté disponible para quienes tienen acceso cuando la necesitan. ¿Cómo puede la
tecnología proporcionar soluciones que permitan una interconectividad segura, dónde y cuándo se necesite? ¿Qué compensaciones de seguridad serían
aceptables, si las hubiera?
• Complejidad—La tecnología de la información y la comunicación no siempre utiliza soluciones estándar, lo que genera complejidad. Existe un
problema similar en el entorno físico, el otro lado de la tecnología, cuando la descentralización o las adquisiciones requieren el uso de varios
edificios con soluciones de seguridad divergentes. La Arquitectura DI proporciona el vínculo entre lo que las organizaciones que se fusionan o
adquieren establecen como sus objetivos y la integración de tecnologías divergentes que se pueden encontrar en los objetivos.
• Requisitos de espacio y energía—La tecnología necesita espacio controlado y energía suficiente para funcionar. Esto suele ser una carga cuando es necesario
aumentar el tamaño y la capacidad de TI. En términos de seguridad, el entorno físico crea una serie de desafíos, por ejemplo, cuando hay enlaces a
infraestructuras públicas o cuando la instalación segura depende de servicios externos. Un ejemplo es la falta frecuente de energía eléctrica (vataje) que a
menudo restringe las operaciones del centro de datos. Del mismo modo, el acoplamiento de la seguridad informática pura con tecnología "intermedia", como la
gestión de instalaciones, las instalaciones de bus de campo o la climatización, a menudo crea la necesidad de medidas de seguridad específicas.
• Consideraciones de arquitectura—Estos incluyen cómo reacciona una organización a los cambios tecnológicos directos o a los cambios tecnológicos
indirectos provocados por el entorno externo.
La arquitectura debe transmitir de manera proactiva cualquier información sobre cambios tecnológicos directos al elemento de la organización, tanto en
términos de qué es el cambio como qué significa el cambio para el negocio. De manera similar, la arquitectura debe informar a la organización sobre los cambios
indirectos que pueden desencadenarse por el entorno de la empresa, como actualizaciones importantes o cambios de lanzamiento en aplicaciones clave. La
seguridad de la información depende de la retroalimentación regular y precisa que se origina en el elemento Tecnología y se procesa dentro del elemento
Organización, lo que conduce a decisiones informadas.
• Consideraciones de arquitectura y riesgo—Si bien las personas, los procesos y la tecnología se han aceptado durante mucho tiempo como la tríada de administración
para TI, existen muchos riesgos de seguridad que se derivan de las imperfecciones, fallas y errores del día a día en el sistema en general. Dado que la mayoría de los
sistemas no siempre se ejecutan en modo "impecable", la arquitectura de seguridad debe ser lo suficientemente resistente para adaptarse a anomalías, incidentes y
errores.
Algunos de los problemas menos abordados que deben tenerse en cuenta en la evaluación de riesgos son los retrasos inherentes a la tecnología, la
incapacidad de la tecnología para implementar completamente los objetivos de seguridad y los requisitos de la tecnología para alojar y realizar
adecuadamente las actividades comerciales y los procesos de seguridad sin dejar de ser fácil. usar.
• Arquitectura de seguridad—Esto proporciona una relación equilibrada entre elementos fuertemente opuestos y la interacción de elementos en
conflicto, y sirve como un dispositivo para regular la tensión entre la gobernanza, la arquitectura tecnológica y las operaciones de una organización.
La arquitectura debe permitir a la organización comprender el equilibrio entre demasiada tecnología de seguridad y muy poca. Como tarea
secundaria, la arquitectura de seguridad es el factor decisivo para equilibrar la 'tensión', es decir, la capacidad de respuesta de la toma de decisiones
organizativas a los cambios tecnológicos yviceversa.
Habilitación y apoyo
La DI de Habilitación y Soporte conecta los elementos de Proceso y Tecnología. En términos de BMIS, es la interconexión dinámica a través de la cual
la tecnología habilita el proceso, y el proceso a su vez apoya el despliegue y operación de la tecnología, como se muestra en
figura 12.

Figura 12 — Habilitación y soporte DI
PROCESO
HABILITACIÓN Y APOYO
GOBERNANTE APARICIÓN
TECNOLOGÍA
FACTORES HUMANOS ARQUITECTURA
Como la DI de habilitación y soporte es el área que demuestra un proceso equilibrado para respaldar la tecnología empresarial en una dirección y
mostrar el efecto que la tecnología tiene en los procesos comerciales en la otra dirección, es útil observar algunos ejemplos.
Hay muchos ejemplos para ilustrar el hecho de que, en ausencia de un proceso equilibrado que respalde la tecnología, las soluciones de TI no logran cumplir los
objetivos comerciales y se convierten en pasivos. Para reconocer los problemas antes de que surjan, se deben implementar algunas 'medidas detectivescas'. Sin
embargo, en un subsistema de habilitación y apoyo DI débil, es probable que tales medidas de apoyo estén ausentes o sean ineficaces.
Una DI de apoyo y habilitación sólida debe tener en cuenta:

• Procesos equilibrados y ajuste rápido a un nuevo estado de equilibrio.
• Cumplimiento de los estándares apropiados
• Uso de controles apropiados
• Un fuerte enfoque de seguridad
• Reconocimiento de los requisitos de cumplimiento
Lo más importante es que el sistema DI de habilitación y soporte debe generar el retorno de la inversión (ROI) deseado y cumplir con los
objetivos comerciales.
Dado que la mayoría de las empresas pasan por numerosas auditorías y revisiones de cumplimiento anualmente, la dependencia tiende a depender de esas auditorías y
revisiones que tienen como objetivo la eficacia de los procesos y la seguridad de la infraestructura de TI. Esa confianza no está fuera de lugar, pero las organizaciones
deben mirar más allá de las auditorías y las revisiones de cumplimiento y hacer un balance de sus procesos en torno al uso de la tecnología.
Esto significa que las organizaciones primero deben comprender la relación entre el proceso y los elementos de tecnología. Esta DI ha sido
denominada Habilitación y Soporte en BMIS con la visión de que el proceso habilita la tecnología y la tecnología respalda el proceso empresarial.
La tecnología debe seleccionarse, evaluarse, implementarse y controlarse. Los procesos deben diseñarse, desarrollarse, implementarse y utilizarse. La
dificultad con la que luchan la mayoría de las organizaciones no es la falta de tecnología; Los procesos a menudo no están suficientemente habilitados por la
tecnología existente, mientras que la abundancia de tecnología dentro de cualquier organización no está respaldada adecuadamente por los procesos
existentes.

Muchas organizaciones se centran más en la tecnología en sí misma que en comprender el proceso empresarial que permitirá la tecnología.
Su visión de la tecnología es lineal, como se ilustra en figura 13.
Figura 13 — Hoja de ruta de tecnología lineal
Tecnología Vendedor Tecnología Tecnología Tecnología

Selección Selección Adquisición Implementación Mantenimiento
Este mapa de procesos es directo y secuencial, sin bucle de retroalimentación o "repeticiones". Una vez que se adquiere la tecnología, la organización
generalmente utiliza el soporte del proveedor para su implementación. A veces, las organizaciones reducen o eliminan el soporte de los proveedores sin tener un
proceso de reserva. La transferencia de conocimientos y la documentación se ignoran a favor de solucionar los problemas y hacer que la tecnología funcione de
manera práctica. En el pensamiento sistémico, el modelo lineal no resuelve ninguno de los problemas que surgen de la implementación y el mantenimiento de
tecnología secuencial. Como consecuencia, la forma de pensar de BMIS favorece un bucle, como se describe en
figura 14.
Figura 14 — Bucle / ciclo de tecnología
Negocio
Requisitos
Solución Servicio
Despliegue Requisitos
Tecnología Negocio
Selección Solución
El bucle permite volver a los pasos anteriores según sea necesario para adaptar sistémicamente cualquiera de los pasos del ciclo. Por ejemplo, si la
solución tecnológica parece poco clara o insuficientemente definida, se revisa la solución empresarial para garantizar la alineación. Si la solución
comercial no es clara o plantea preguntas, puede ser necesario volver a los requisitos de servicio originales formulados o incluso a los requisitos
comerciales generales. Sin embargo, esta no es una secuencia paso a paso como se muestra enfigura 13. Es sistémico en el sentido de que ningún
paso del ciclo se 'completa' nunca, pero todos los pasos interactúan en el ciclo general y pueden cambiar las soluciones tecnológicas y su
implementación.
Cuando la selección e implementación de tecnología son parte de la implementación de una solución comercial, existe un proceso cíclico que permite que los
componentes de la solución adecuados desempeñen un papel. BMIS ayuda a garantizar una visión holística y equilibrada de la habilitación de la tecnología. El
modelo no aboga por la tecnología de punta o la automatización completa, sino que se centra en la habilitación del negocio mediante el uso de la tecnología.
Los procesos son formas de lograr objetivos. Sin objetivos, los procesos no se pueden medir y son de poca utilidad. Lo mismo se aplica a la tecnología
(el objeto), que no tiene valor si no permite que la organización logre sus objetivos en la implementación de su estrategia (incluso si esta estrategia
evoluciona).
De ello se deduce que existe una co-dependencia entre los elementos de Proceso y Tecnología que dificulta aislar unos de otros. La DI de habilitación y
apoyo es una relación bidireccional estrechamente acoplada que solo se puede entender cuando se aplican los tres componentes básicos del
pensamiento sistémico (retroalimentación, equilibrio y retraso), como se describe más adelante en esta sección.

TI dentro de una empresa

En su artículo 'Integración de sistemas de información', Wilhelm Hasselbring28 describe la fragmentación de los sistemas de información dentro de las
empresas. Según los investigadores, la mayoría de las fallas de seguridad no se deben a la falta de estándares y tecnologías, sino a la falta de enfoque
para utilizarlos adecuadamente en beneficio de toda la organización. Al descubrir una falla de seguridad, debido a un incidente o como resultado de
una auditoría, las organizaciones se apresuran a corregir la falla, a veces sin comprender la causa raíz o correlacionarla con fallas similares descubiertas
anteriormente.
Ejemplo
Si un archivo que contiene números de seguro social (SSN) de EE. UU. Se envía sin cifrar y en contra de la política de la organización, es probable
que la organización establezca una nueva práctica y pida a sus empleados que cifren los archivos, porque esa es la práctica común en la actualidad.
Si bien esto puede funcionar en algunos casos, tiene sus propios defectos, ya que las personas no siempre siguen el proceso y aún existiría la posibilidad de que
los SSN se envíen de forma clara. Además, puede haber otros modos de transferencia de datos en los que los datos se transmiten en texto sin cifrar.
Obviamente, el problema será mucho más amplio que solo la seguridad del correo electrónico. Por lo tanto, las organizaciones deben considerar un enfoque
diferente para resolver problemas y desarrollar soluciones, que proporciona BMIS.
En el ejemplo anterior, el enfoque de sistemas de BMIS hará que la organización tenga en cuenta otros factores antes de decidirse por "la solución".
Por ejemplo, una organización que se adhiera a los conceptos de BMIS puede considerar las siguientes preguntas:
• Antes de implementar el cifrado de correo electrónico, ¿los procesos están bien definidos y se siguen estrictamente? Si no es así, ¿cuál es la probabilidad de
que el nuevo proceso (para cifrar archivos) se siga según lo previsto?
• ¿Hay personas / recursos disponibles para ayudar a responder preguntas o resolver problemas como resultado de este nuevo proceso? ¿Los empleados reciben
formación sobre la protección de la información confidencial? ¿Entienden por qué se debe proteger esta información?
• ¿La tecnología de cifrado propuesta es fácil de usar? ¿Requiere mucha intervención manual?
Desde una perspectiva organizacional, se pueden hacer otras preguntas:

• ¿Es esta la mejor solución? ¿La mejor solución de costes? ¿Es una solución a corto o largo plazo? Cuales son las alternativas? ¿Qué problemas
similares se han encontrado? ¿Qué problemas futuros presentará esto? ¿Cuál es el costo del cumplimiento? ¿Cómo reaccionarían los clientes a la
solución?
Las preguntas de los cuatro puntos anteriores representan los elementos del BMIS. Dividir las preguntas por elemento ayuda a lograr una
solución equilibrada al analizar más las respuestas dentro del contexto de las dimensiones de BMIS:
• Los procesos están bien definidos; sin embargo, la organización carece de personas capacitadas para apoyarlos.
• El cifrado se ha intentado antes; sin embargo, la cultura de la organización tiende a ser muy informal y las personas envían correos electrónicos sin cifrar
cuando creen que pueden "confiar" en la otra parte.
Por lo tanto, BMIS mejora la capacidad de una organización para relacionar factores de influencia críticos y, a medida que la organización considera los problemas de cultura,
arquitectura, factores humanos, gobierno y habilitación y soporte, la administración puede decidir eliminar (enmascarar) los SSN de las extracciones de archivos, eliminando
así el riesgo por completo. .
Como la mayoría de los sistemas de información tienden a ser autónomos y operan dentro de sus propios silos, el proceso de retroalimentación no
existe o existe en una capa que no se filtra hasta el nivel de habilitación y apoyo. Figura 15 muestra cómo operan la mayoría de las organizaciones.
Estas unidades organizativas aisladas tienden a centrarse más en la arquitectura técnica que en la estructura, como se describió anteriormente en esta sección. Ésta es
una de las causas fundamentales subyacentes de la imposibilidad de utilizar la tecnología para cumplir los objetivos comerciales.
Sin embargo, si las organizaciones permiten la integración de silos, se puede observar un resultado diferente (figura 16).
Es evidente que los procesos organizativos integrados podrían conducir a mejores resultados habilitantes, así como a un mejor apoyo.
La integración entre unidades organizativas no es una tarea trivial. Cuando una organización reconoce un entorno de habilitación y apoyo de DI
deficiente, tiende a centrarse en uno o más de los siguientes factores o recursos:
• Tecnología—La tecnología actual no permite cumplir con los objetivos comerciales; por lo tanto, se deben realizar nuevas inversiones para adquirir
tecnología más nueva.
• Gente—Existe una falta de capacidad de gestión, recursos humanos, conocimientos, motivación o compromiso.
• Cultura—Históricamente así han funcionado las cosas, por lo que no se puede cambiar.
28 Hasselbring, Wilhelm; 'Integración del sistema de información',Comunicaciones de la Asociación de Maquinaria de Computación (ACM) - CACM, Estados Unidos, 2000, vol. 41, no. 12,
pag. 64-70

Figura 15 — Fragmentación organizacional
Estructura de organización vertical no integrada
Metas y objetivos empresariales
Organización Organización Organización

Unidad A Unidad B Unidad X
Solicitud Solicitud Solicitud

Secundario Secundario Secundario

Técnico Técnico Técnico
Infraestructura Infraestructura Infraestructura
Infraestructura técnica empresarial
Figura 16 — Integración organizacional
Estructura de organización vertical integrada
Metas y objetivos empresariales
Organización Organización Organización

Unidad A Unidad B Unidad X

Habilitación y apoyo
Secundario Secundario Secundario

Técnico Técnico Técnico
Infraestructura Infraestructura Infraestructura
Infraestructura técnica empresarial

En muchas culturas organizacionales, las personas evitan resaltar los problemas hasta que sucede algo drástico. Aquí es donde BMIS, con su enfoque de
sistemas, ayuda. Identificar y enfocarse en todos los factores que pueden contribuir al problema puede resultar en planes de acción que no solo ayudan a
resolver el problema, sino que también establecen una hoja de ruta para implementar proactivamente una infraestructura de habilitación y apoyo DI efectiva.
Esta hoja de ruta diferirá de una organización a otra, pero es probable que tenga los componentes clave que se muestran en
figura 17.
Figura 17 — Componentes clave de la infraestructura de habilitación y soporte de DI
GENTE PROCESO ORGANIZACIÓN
Cruzar- Nivel alto

funcional Negocio
HABILITACIÓN Y APOYO
Grupos de trabajo Objetivos
Proceso
Marco de referencia
Empresa
Arquitectura
ORGANIZACIÓN TECNOLOGÍA
Los componentes clave de la infraestructura de habilitación y apoyo DI son:

• Objetivos comerciales de alto nivel—La tecnología de la información es un facilitador comercial porque ayuda a reducir los costos operativos, mejora la
productividad y genera un nuevo crecimiento. No es probable que la implementación de un nuevo sistema de contabilidad o plan de marketing genere un
crecimiento a largo plazo o reduzca los costos en toda la organización. Las empresas deben emprender iniciativas en toda la empresa para lograr objetivos
comerciales generales y amplios, como reducir costos,29 que es el objetivo final alcanzado por la DI de Habilitación y Apoyo.
• Requisitos comerciales detallados—Los requisitos comerciales son el conjunto detallado de solicitudes comerciales que el sistema debe cumplir para tener
éxito.30 Los requisitos comerciales deben recopilarse sin hacer referencia a la tecnología. La recopilación de requisitos comerciales es una actividad crítica
incluso si el enfoque del proyecto es una actualización o actualización de tecnología.
• Arquitectura empresarial y marcos de procesos—Los planes y metas de la tecnología deben alinearse con los planes y metas de la organización. 31
Para que eso suceda, las áreas y procesos funcionales clave, junto con sus necesidades de intercambio de información y el consumo / entrega de
servicios, deben alinearse e integrarse. El vehículo para lograr esto es la arquitectura empresarial.
Según P. Baltzan y A. Phillips, "las empresas que construyen una base para la ejecución deberían utilizar su arquitectura empresarial como
una brújula, dirigiendo a la empresa hacia su modelo operativo previsto".32
Los procesos de arquitectura empresarial garantizan la integración vertical y horizontal, siempre que se hayan considerado y documentado los
requisitos comerciales detallados. Un buen ejemplo es el proceso de identificación y autenticación dentro de una organización. A menos que la
solución tecnológica Identity Access Management (IAM) esté integrada en todas las partes de BMIS, el resultado será incompleto y
29 Baltzan, P .; A. Phillips .;Sistemas de información orientados al negocio, 2Dakota del Norte Edición, McGraw Hill, Estados Unidos, 2008
30 Ibídem.
31 Ibídem.
32 Ross, JW; P. Weill; DC Robertson; 'Arquitectura empresarial como estrategia: creación de una base para la ejecución empresarial', Harvard Business School Press, EE. UU.,
2006, pág. 11

vulnerable, ya que los empleados que han dejado la organización aún podrán acceder a información crítica, un problema constante. Sin embargo,
existe suficiente evidencia para demostrar que muchas organizaciones han comprado la tecnología sin considerar la visión organizacional general.
Además, no han considerado la integración de esta tecnología desde una perspectiva de soporte, como quién manejará las llamadas de ayuda de los
usuarios o cómo se integrará la tecnología con los sistemas heredados. Con demasiada frecuencia, las organizaciones escuchan al proveedor y
asumen que el producto de alguna manera comprenderá y satisfará sus necesidades de forma inmediata.
• Grupos de trabajo multifuncionales—Contar con grupos de trabajo multifuncionales que supervisen los elementos mencionados en los tres puntos
anteriores es esencial para establecer una estructura de DI de habilitación y apoyo exitosa. En lugar de que una o dos personas intenten comprender toda la
empresa, es aconsejable que los miembros de varias unidades de la organización se reúnan para establecer objetivos comerciales, comprender los requisitos
comerciales y desarrollar una arquitectura empresarial. Incluso en una situación en la que tal arquitectura existe pero es ineficaz, es fundamental establecer un
grupo de trabajo multifuncional para diagnosticar el problema y recomendar una solución.
Hay otras razones para crear equipos multifuncionales. Una DI de apoyo y habilitación sólida
que incorpore puntos de vista multidisciplinarios contribuye a mejorar la seguridad al eliminar Un DI fuerte de habilitación y apoyo que
las redundancias y fomentar una mayor comunicación. Hay otro aspecto que también debe
tenerse en cuenta: incorpora puntos de vista multidisciplinarios
contribuye a una mejor seguridad al eliminar

. . . Las computadoras tienen que interactuar con los usuarios de alguna manera, en algún momento,
por alguna razón. Y esta interacción es el mayor riesgo de seguridad de todos.33 redundancias y fomentar
mayor comunicación.
Los equipos multifuncionales pueden proporcionar información valiosa al proceso de gestión de riesgos
empresariales al compartir sus propias experiencias, tanto buenas como malas. Por ejemplo, la gente
como el hecho de que es posible que no tengan que ingresar contraseñas en todas las pantallas que ingresan. Habilitación y soporte Los sistemas DI fomentan la seguridad
de la tecnología al tiempo que mantienen los procesos fáciles de usar (por ejemplo, mediante la introducción de un mecanismo de inicio de sesión único). Los factores
humanos son un ingrediente esencial de los sistemas de habilitación y apoyo.
Aparición
Al escuchar el término "emergencia", los conceptos que vienen a la mente pueden incluir emerger, desarrollar o evolucionar. En modelos de negocio
anteriores, podría haberse llamado "mejora continua". Peter Senge llama a esto "aprendizaje".34 Otra definición de emergencia es "el surgimiento de
estructuras, patrones y propiedades novedosos y coherentes durante el proceso de autoorganización en sistemas complejos".35
En BMIS, la emergencia puede verse como el surgimiento de nuevas oportunidades para los negocios, nuevos comportamientos, nuevos procesos y otros elementos
relevantes para la seguridad, a medida que evolucionan los subsistemas entre las personas y los procesos (figura 18). El aspecto de "aprendizaje" se deriva del hecho de que
incluso los sistemas aparentemente caóticos, como en organizaciones relativamente nuevas o situaciones imprevistas, tienden a desarrollar alguna forma de orden. El
surgimiento de la biología y la cibernética a veces crea un 'orden a partir del caos'36 de una manera impredecible.
La emergencia como tal no siempre indica mejoras en términos de seguridad. A medida que surgen nuevas formas espontáneas de hacer las cosas dentro de una
organización, pueden ser positivas o negativas. Por ejemplo, el comportamiento habitual que va en contra de las políticas y los estándares puede evolucionar con
el tiempo. Asimismo, el nivel de seguridad puede mejorar a través del acuerdo tácito de las personas sobre cómo manejar nuevos sistemas o aplicaciones. La
forma en que las personas (como elemento BMIS) interactúan con los procesos a menudo se caracteriza por la emergencia, lo que la convierte en una DI muy
poderosa. Es un área que aborda la ambigüedad y la evolución y, si se administra bien, puede mejorar la capacidad de la empresa para adaptarse al cambio,
sobrevivir a un evento imprevisto e innovar.
33 Schneier, Bruce; Secretos y mentiras: seguridad digital en un mundo en red, Wiley, Estados Unidos, 2000
34 Senge, Peter; El 5th Disciplina, el arte y la práctica de la organización que aprende, Moneda Doubleday, Estados Unidos, 1990
35 Goldstein, J; 'Emergencia como construcción: historia y problemas',http://iscepublishing.com/(X(1)S(0hxga5554vqewgyz2m4uihzr))/ECO/eco_papers/issue1_1_3.pdf,
1999, pág. 49-72
36 Prigogine, I .; Orden en el caos, Bantam Books, Estados Unidos, 1984

Figura 18 — Emergencia DI
PROCESO
APARICIÓN
GOBERNANTE HABILITACIÓN Y APOYO
GENTE
CULTURA FACTORES HUMANOS
Entendiendo la Emergencia
La naturaleza humana dicta que la ejecución de procesos por personas dentro de una empresa varía con el tiempo y cada vez que se ejecuta un proceso.
Un proceso en sí mismo puede estar bien definido, pero su resultado puede ser diferente cada vez que se ejecuta. Esto significa que solo una parte del
proceso es predecible, mientras que otras partes pueden tener un elemento de coincidencia. Para poder comprender el impacto de este hecho en la
seguridad de la información, la ejecución de un proceso por personas se subdivide en las siguientes categorías:
• Basado en procedimientos escritos—La ejecución de tareas en función del flujo específico de acciones definido en un procedimiento oficial
• Basado en políticas—La ejecución de tareas basada en la traducción de reglas de la política de seguridad empresarial
• Ad hoc—La ejecución de tareas de manera aleatoria, no cubierta por un procedimiento o regla de política
Cada categoría de ejecución contiene diferentes elementos de incertidumbre introducidos por las características básicas de la naturaleza humana: la capacidad
de pensar, decidir y reaccionar en diversas situaciones:
• Basado en procedimientos escritos—Las personas pueden o no cumplir con un procedimiento; pueden cometer errores al seguir un
procedimiento o malinterpretarlo. El procedimiento en sí puede no ser apropiado para cubrir todas las situaciones posibles, o puede ser muy difícil
y confuso de seguir. En algunos casos, varias personas pueden decidir, sin saber lo que están haciendo los demás, interpretar los procedimientos
escritos de manera similar. Como resultado, surge una nueva forma de manejar el procedimiento.
• Basado en políticas—Las reglas son más generales que un flujo de procedimiento específico. Pueden traducirse de manera diferente en situaciones distintas, mal traducidas
o ignoradas. Las reglas pueden ser demasiado estrictas o demasiado generales, por lo que son inaplicables en situaciones de tiempo crítico o proporcionan demasiadas
alternativas, por lo que no sirven al alcance de la seguridad de la información.
• Ad hoc—La incertidumbre se maximiza cuando las personas no reciben instrucciones de seguir procedimientos o reglas para ejecutar procesos, ya que el
comportamiento no se ubica en un marco específico.
El concepto de emergencia proviene de muchos campos diferentes, incluida la teoría de sistemas, la teoría de juegos y la naturaleza misma. La teoría del caos
también explica hasta cierto punto el concepto de emergencia. En situaciones de caos o descentralizadas o sin líderes, algún tipo de orden puede surgir o
emerger de una manera aparentemente espontánea y sin una causa obvia. De manera similar, las personas pueden decidir individualmente adoptar nuevas
tecnologías o procesos, por ejemplo, cuando usan la TI en casa de una manera diferente a como se usa en el lugar de trabajo. La motivación para que las
personas lo hagan puede residir en factores humanos y la conveniencia de uso o en un entorno cultural que influye en su comportamiento. En BMIS, Emergencia
es el DI entre los elementos Personas y Proceso. Sin embargo, cualquier cosa que la gente piense o haga debe tener en cuenta los otros DI que influyen en las
personas: los factores humanos y la cultura.

La emergencia, como proceso de aprendizaje, es fundamental para la seguridad de la información, ya que

ayuda a comprender los requisitos para diseñar estrategias de seguridad eficaces que se adapten al La emergencia, como proceso de aprendizaje, es
comportamiento de la empresa en su conjunto. Ayuda a personalizar, mejorar y expandir los procedimientos

fundamental para la seguridad de la información.
y reglas de seguridad para llevar la seguridad de la información de la teoría a la práctica. Es un proceso que
requiere mucho tiempo y requiere un entorno de libre expresión en el que
las personas pueden proporcionar comentarios que contribuyan a hacer de la seguridad un habilitador comercial que no obstaculice el rendimiento, sino que
ayude a organizar mejor la ejecución de los procesos. Para garantizar una seguridad sólida en las organizaciones, debe haber un nivel de preparación y un
clima de 'haber cubierto todas las bases' en términos de los elementos de Personas, Organización, Procesos y Tecnología. El sistema de recompensas e
incentivos no debe favorecer solo la preservación de los procesos antiguos, sino también fomentar activamente el desarrollo de nuevos procesos y formas de
hacer las cosas y la identificación de problemas antes de que surjan en la práctica.
Aparición se puede clasificar como positivo o negativo. La emergencia positiva está relacionada con el proceso de aprendizaje para comprender las necesidades de
seguridad y mejorar la seguridad de la información. La emergencia negativa está relacionada con el aumento del fenómeno de incidentes de seguridad inexplicables y la falta
de alineación entre la seguridad de la información y los objetivos comerciales.
Por lo tanto, Emergence DI introduce un elemento de evolución y se adapta a los cambios a veces inesperados, o incluso impredecibles,
que ocurren en el día a día de la empresa. Como concepto, permite a las empresas anticipar dichos cambios e integrarlos en el sistema de
seguridad general y sus subsistemas.
Factores humanos
Human Factors es el DI que conecta los elementos de Personas y Tecnología. Los factores humanos es un campo ampliamente documentado
que cubre muchas áreas como:
• Ciencia para comprender las propiedades de la capacidad humana, la ergonomía y los límites de las habilidades humanas.
• Aplicación de este conocimiento al diseño, desarrollo y despliegue de tecnologías y servicios.
• Arte de asegurar la aplicación exitosa de la ingeniería de factores humanos a un programa.
Los factores humanos DI (figura 19) se ha denominado interacción hombre-ordenador (HCI), interfaz hombre-máquina y ergonomía.
En la práctica, gran parte del trabajo sobre facilidad de uso y usabilidad se relaciona con este DI.
Figura 19 — Factores humanos DI
GENTE
FACTORES HUMANOS
CULTURA APARICIÓN
TECNOLOGÍA
HABILITACIÓN Y APOYO ARQUITECTURA
© 2 0 1 0 ISACA. All R yo G ht S R e S e R ved. 43

El DI de Factores Humanos también incluye el estudio de cómo los humanos interactúan con la tecnología
Las debilidades en la seguridad pueden ocurrir
y el desarrollo de herramientas que faciliten el logro de metas específicas, en este caso, objetivos de
fácilmente debido a la forma en que las seguridad de la información. Dentro de BMIS, el DI de Factores Humanos interactúa con los elementos de
Personas y Tecnología. Esta relación se deriva del hecho de que las debilidades en la seguridad pueden
personas usan la tecnología y su comprensión
ocurrir fácilmente debido a la forma en que las personas usan la tecnología y su comprensión de la
de la necesidad y el cumplimiento de los necesidad y adherencia a los conceptos de seguridad. Del mismo modo, la tecnología como elemento
puede mejorar en gran medida la calidad del trabajo y la forma en que las personas realizan sus tareas.
conceptos de seguridad.
En general, los tres objetivos principales dentro del DI de Factores Humanos se relacionan con el operador humano (cuerpo y mente) y los sistemas
circundantes que interactúan con el usuario humano. Para comprender y manejar la tensión en este DI, el primer paso es diagnosticar o identificar los
problemas y deficiencias en la interacción humano-sistema de un sistema de seguridad existente. Posteriormente, hay cinco enfoques diferentes que se
pueden utilizar para introducir mejoras:
• Diseño de equipos—Cambia la naturaleza del equipo físico con el que trabajan los humanos.
• Diseño de tareas—Se centra más en cambiar lo que hacen los operadores que en cambiar los dispositivos que utilizan. Esto puede implicar la asignación
parcial o total de tareas a otros trabajadores o componentes automatizados.
• Diseño ambiental—Implementa cambios como la mejora de la iluminación, el control de la temperatura y la reducción del ruido en el
entorno físico donde se realiza la tarea
• Entrenando a las personas—Mejor prepara a los empleados para los desafíos que encontrarán en el entorno laboral al enseñar y
practicar las habilidades físicas o mentales necesarias
• Selección de individuos—Una técnica que reconoce las diferencias individuales entre los seres humanos en todas las dimensiones físicas y mentales que son
relevantes para el buen funcionamiento del sistema. Dicho desempeño se puede optimizar seleccionando operadores que posean el mejor perfil de habilidades
para el trabajo y fortaleciendo selectivamente ciertas habilidades en todos los equipos.
El modelo simple de Personas-Tecnología consiste en una persona que interactúa con una 'máquina' en algún tipo de entorno. La persona y la máquina / entorno
se modelan como dispositivos de procesamiento de información, cada uno con entradas, procesamiento central y salidas. Las entradas de una persona son los
sentidos (por ejemplo, ojos, oídos) y las salidas son efectores (por ejemplo, manos, voz). Las entradas de una máquina son dispositivos de control de entrada (por
ejemplo, teclado, mouse) y las salidas son dispositivos de visualización de salida (por ejemplo, pantalla, alertas de voz).
El entorno se puede caracterizar físicamente (p. Ej., Temperatura ambiente, ruido, entorno cerrado), cognitivamente (p. Ej., Presión de tiempo,
conciencia y comprensión, riesgo) y / o organizativamente (p. Ej., Estructura organizativa, participación de la dirección). Esto proporciona una forma
conveniente de organizar algunas de las principales preocupaciones de la ingeniería del factor humano: la selección y el diseño de pantallas y
controles de la máquina; la distribución y el diseño de los lugares de trabajo; diseño para la mantenibilidad; el diseño del entorno de trabajo y, en
particular, la infraestructura de seguridad.
Por ejemplo, conducir un vehículo es un ejemplo familiar de un sistema simple hombre-máquina. Al conducir, el ser humano recibe información del
exterior del vehículo (p. Ej., Sonidos y señales visuales del tráfico, obstrucciones y señales) y de pantallas dentro del vehículo (p. Ej., El velocímetro, el
indicador de combustible y el medidor de temperatura). La persona evalúa continuamente esta información, decide los cursos de acción y traduce esas
decisiones en acciones sobre los controles del vehículo, principalmente el acelerador, el volante y los frenos. Finalmente, el conductor está influenciado
por factores ambientales como el ruido, los humos y la temperatura.
El estudio de la ergonomía tiene su origen en la Revolución Industrial y surgió como una disciplina en toda regla durante la Segunda Guerra Mundial.
Se reconoció que el diseño de la cabina del avión debía considerar la interfaz humana para los controles y las pantallas. Ingenieros de diseño
enfocados en la tecnología y psicólogos industriales trabajaron para optimizar la interfaz. En algunos casos, el diseño de factores humanos puede
afectar la rentabilidad final o puede ser un asunto de vida o muerte, por ejemplo, en el diseño de interfaces en industrias de alto riesgo. Las
empresas se dieron cuenta de que el éxito de un producto depende de un buen diseño de factores humanos.
Las personas trabajan mejor y cometen menos errores (reduciendo potencialmente el riesgo de seguridad) cuando se encuentran en un entorno familiar.
Continuando con el tema del vehículo, no existe un estándar real que prescriba cuál de las palancas de control en el lado del volante realiza qué función, incluso
dentro de un solo fabricante. Cuando un conductor se mueve de un vehículo a otro, incluso si esto sucede con regularidad, es muy fácil encender los faros cuando
se intenta lavar el parabrisas o indicar un giro cuando se desea encender las escobillas del limpiaparabrisas.
Además de la ergonomía, existen cuestiones como la facilidad de uso que contribuyen a los riesgos de seguridad que puede afrontar una empresa en el DI de
factores humanos. Por ejemplo, una empresa puede invertir en tecnología robusta para proteger la información, como sistemas de protección contra intrusiones
(IPS), firewalls, soluciones de prevención de pérdida de datos (DLP) y correlacionadores de eventos. Si bien muchos de estos dispositivos están preconfigurados
con políticas estándar, requieren personalización basada en el riesgo empresarial y el diseño de la red. Los errores en la configuración pueden hacer que las
máquinas se comporten de manera inesperada, lo que resultará en incidentes de seguridad imprevistos; Asimismo, es importante que el personal de seguridad
operacional esté capacitado en el monitoreo de estos dispositivos para que cuando ocurra un incidente, se advierta lo antes posible. En muchas instancias, la
configuración de seguridad inicial de una solución de tecnología lista para usar no es la que debería ser, debido al hecho de que la configuración inicial se
considera el "mínimo indispensable", para acomodar a tantos clientes como sea posible. Del mismo modo, es posible que introducir nuevas reglas y personalizar
una solución de seguridad no sea intuitivo.

Las tecnologías implementadas por la organización de seguridad también deben considerar la aceptación del usuario. Si las tecnologías diseñadas para
proteger los activos de información comienzan a sofocar la productividad o interrumpen las operaciones diarias, no pueden considerarse eficientes o efectivas.
Por lo tanto, es imperativo que se considere la aceptación del usuario al implementar los controles. El DI de Factores Humanos es uno de los motivadores que
dan forma al comportamiento del usuario, mientras que el otro es el DI de Cultura. Deben tenerse en cuenta ambas influencias.
Es un hecho conocido que los humanos pueden sortear los controles de seguridad y lo hacen. Muchas empresas han implementado las últimas y mejores
tecnologías solo para que los empleados trabajen alrededor de los controles. Si bien la última y mejor tecnología es fantástica, por sí sola puede crear un nuevo
riesgo para la empresa: una falsa sensación de seguridad. Un ejemplo de una falsa sensación de seguridad son los controles actuales que se utilizan en los
aeropuertos. ¿Es el público viajero realmente más seguro cuando vuela debido a los procedimientos de seguridad a menudo intrusivos requeridos entre el check-
in y la puerta, o estos procedimientos de seguridad son simplemente un "espectáculo", sin valor real?37
Toda la seguridad en vigor desde los ataques terroristas del 11 de septiembre de 2001 contra varios objetivos estadounidenses no ha logrado
identificar al menos dos intentos terroristas conocidos de alto perfil en aviones. En ambas situaciones, el presunto terrorista sabía qué
controles de seguridad estaban vigentes y los evitó escondiendo materiales en áreas no controladas o usando materiales no líquidos para
explosivos. Este fenómeno se debe en parte a la DI de Emergencia y a la DI de Factores Humanos. Los perpetradores invirtieron el
pensamiento lineal (y reactivo) de la gestión de la seguridad simplemente explotando una combinación de factores y lagunas de seguridad
que no se habían considerado antes. Estudiaron las medidas de seguridad vigentes y luego intentaron violar la seguridad en lo que
consideraban un eslabón débil de la cadena. En términos de factores humanos en seguridad,
Como resultado, se promulgaron controles reactivos adicionales que pueden hacer que las personas se sientan seguras, pero que en realidad no mitigan el riesgo de que los
terroristas introduzcan armas de contrabando en un avión. De hecho, los controles forzaron la emergencia. Después del incidente inicial del bombardeo de zapatos, muchos
aeropuertos obligaron a los pasajeros a quitarse los zapatos y no llevar líquidos en un avión. En respuesta, los planes de los terroristas continúan evolucionando y explotando
diferentes áreas en el perímetro donde la seguridad no es tan estricta, mientras que la gente común sufre de pies congelados mientras hace fila. En contraste con el
pensamiento sistémico que aplican los terroristas potenciales, la seguridad reactiva en los aeropuertos no tiene en cuenta los pensamientos de seguridad holísticos: agregar
más controles y hacer que volar sea en general más engorroso no aumenta el nivel fáctico de seguridad.
Como se mencionó anteriormente, la tecnología de la información puede proporcionar las respuestas, pero las respuestas no pueden reemplazar las preguntas de
seguridad. Cuando las personas simplemente confían en la tecnología sin comprenderla, a menudo se pasan por alto incluso las debilidades de seguridad más obvias.
Esto se aplica a todos los niveles de la organización:
• Los ejecutivos confían excesivamente en la tecnología de la información y otras soluciones mecánicas para proporcionar la infraestructura de
seguridad necesaria.
• Los gerentes confían en la existencia de controles basados en la política de seguridad para garantizar que no haya debilidades.
• El personal está seguro de que no representan una debilidad de seguridad porque es responsabilidad de otra persona, y seguir los procedimientos
al pie de la letra es una salvaguardia razonable.
Los problemas potenciales que deben ser abordados por este DI incluyen, por lo tanto, pero no se limitan a:
• No comprender no solo los requisitos de seguridad, sino también el motivo de los mismos.
• No apreciar los conceptos de riesgo empresarial y el posible impacto de las debilidades de seguridad.
• No conocer e implementar los controles del sistema disponibles que respaldan la seguridad de la información.
• Error humano en forma de mala memoria o simple falta de atención a los detalles
• Factores humanos externos como el soborno, la corrupción y los problemas sociales, que pueden influir en el nivel de conciencia sobre la seguridad y el cumplimiento de
los controles.
• Tendencias humanas naturales por las que las personas hacen un mal uso de las instalaciones informáticas para sus propios fines.
Naturalmente, esto se relaciona no solo con el ID de factores humanos, sino también con el modelo general. Esto encaja con la naturaleza holística de
BMIS y las interdependencias entre todos los elementos y DI dentro del modelo.
El impacto de los factores humanos DI en el elemento Gente y el efecto del elemento en el DI son, por lo tanto, fáciles de entender pero
difíciles de abordar; sin embargo, este vínculo puede ser el más crítico para que el sistema de gestión de seguridad aborde lo que suele ser la
parte más débil.
Algunas personas tienen una aversión natural al uso de cualquier tecnología (no solo TI), y esto tiene un efecto material, y probablemente perjudicial, en el
elemento Tecnología. Las personas pueden sentirse confundidas o molestas por los controles técnicos que causan retrasos en la productividad. Por lo general,
existen varias razones por las que las personas pueden no querer adoptar los controles técnicos de seguridad. Problemas como
la edad, la experiencia técnica y la tolerancia a la ambigüedad influyen en su eficacia.
37 Schneier, B .; Schneier sobre seguridad, Wiley Publishing, Estados Unidos, 2008

Sin embargo, la edad y la educación por sí solas no indican un uso correcto de la TI. El sistema de gestión de la seguridad de la información también
debe abordar la posible falta de comprensión asegurándose de que no se produzcan "errores". Por ejemplo, un banco importante sufrió una serie de
"infecciones" graves y dañinas por virus informáticos en la red corporativa. Al investigar el incidente, los analistas forenses se enteraron de que:
• Los usuarios de las sucursales habían descubierto que podían acelerar los tiempos de respuesta de la red apagando el software antivirus de escritorio.
• Los usuarios tenían una comprensión deficiente no solo de la naturaleza de un ataque de virus, sino también de los procedimientos de escalada y notificación.
El segundo problema fue uno de poca capacitación y conciencia, pero el primero debería haber sido evitado por el departamento de TI que configuró la
configuración del escritorio de tal manera que los usuarios pudieran apagar el software antivirus. Este fue un caso simple, pero a menudo es el asunto simple,
que se pasa por alto fácilmente al crear la infraestructura de seguridad, lo que puede conducir a las mayores debilidades.
El DI de Factores Humanos también influye en el elemento de Tecnología al requerir la instalación de una serie de soluciones técnicas para
problemas intrínsecamente "humanos". Estos incluyen, pero no se limitan a:
• Antivirus y otro software de 'malware'
• Cortafuegos para restringir el tráfico de Internet
• Software de filtrado para evitar el uso indebido de Internet e identificar intentos

• Sistemas de detección de intrusos (IDS) basados en la red para identificar el acceso de usuarios inapropiado y potencialmente peligroso
En conclusión, abordar los problemas del DI de Factores Humanos y su relación con los elementos de Personas y Tecnología requiere una cuidadosa atención al
detalle; implementación y cumplimiento de todos los controles y restricciones disponibles basados en el sistema; establecimiento de controles de gestión o de
"revisión por pares", según sea necesario; y, sobre todo, el establecimiento de un proceso continuo de concienciación sobre seguridad eficaz en toda la
organización.
Las áreas de interés para los profesionales de la seguridad incluyen:
• Comunicación
• Análisis de tareas laborales y análisis de usabilidad, incluidos los requisitos funcionales y la asignación de recursos.
• Descripciones y funciones de trabajo, procedimientos relacionados con el trabajo y utilización de estos procedimientos.
• Conocimientos, habilidades y habilidades
• Diseño de control y visualización

• Estrés
• Visualización de datos
• Diferencias individuales
• Envejecimiento, accesibilidad
• La seguridad
• Error humano
Todas las áreas enumeradas anteriormente deben considerarse y, cuando sea necesario, abordarse para garantizar que el efecto de los factores humanos en la
seguridad de la información sea beneficioso y no contraproducente. Si la única tecnología disponible para las personas es un martillo, ¿cuántos problemas de
seguridad se parecen a un clavo? ¿Y cuántas 'soluciones' existen para acertar?

3. ucantaBMis
3. uCanta bmIS
Si bien el modelo integra todos los componentes y actividades dentro de un programa de seguridad, el uso práctico debe seguir una serie de fases. Este
enfoque por fases garantiza que las medidas y soluciones de seguridad existentes se adopten por completo en BMIS y que las inversiones existentes
estén protegidas. El uso de BMIS no se trata de reinventar la rueda; cualquier cosa que esté en su lugar dentro de una organización es algo positivo que
debe reconocerse y usarse en consecuencia. Los cambios en el programa de seguridad que son una consecuencia directa del uso de BMIS
generalmente se explican por sí mismos si las fases se implementan paso a paso.
En esta etapa, BMIS es un nuevo concepto que aún no ha logrado un amplio reconocimiento. Sin embargo, ISACA está planificando y realizando estudios
de casos de la vida real que se publicarán a su debido tiempo para permitir decisiones informadas sobre el uso de BMIS en programas prácticos de
seguridad. Por lo tanto, la siguiente sección aborda las fases genéricas que se necesitan para:
• Integrar completamente el programa de seguridad existente.
• Analizar e internalizar las medidas y soluciones de seguridad detalladas implementadas.
• Alinear los estándares, regulaciones y marcos actuales con BMIS.
• Identificar claramente las fortalezas y debilidades de la seguridad existente.
• Utilice el sistema de seguridad dinámico que presenta BMIS.
• Gestionar la emergencia dentro de la organización para maximizar las mejoras de seguridad.
El primer supuesto en el pensamiento sistémico es que los cambios en un extremo del sistema
causarán inevitablemente cambios en otras partes. Cuando se utiliza BMIS, el enfoque tradicional Cuando se utiliza BMIS, el enfoque
de hacer una cosa tras otra funcionará solo cuando se comprendan bien las dependencias entre
tradicional de hacer una cosa tras otra
estas actividades. Una mirada al modelo hace evidente que los cambios dentro de un elemento
también influirán en los DI y, posteriormente, en los demás elementos; sin embargo, esto debe funcionará solo cuando las
considerarse una ventaja: en muchos casos, los cambios en un elemento que no está
dependencias entre estas actividades
directamente enfocado pueden producir los cambios deseados en otras partes del programa de
seguridad. Los gerentes de seguridad experimentados lo saben, solo piense en los cambios son bien entendidos.
repentinos en el comportamiento humano que vienen con un nuevo director ejecutivo (CEO) que
está interesado en la seguridad como tema. Se corre la voz de eso
la gente debe tener cuidado con lo que hace, y hay una modificación sutil y aparentemente repentina en la cultura de la empresa. Si bien el cambio
de personal superior ha cambiado inicialmente la cultura organizacional en su conjunto, la visión sistémica muestra además cómo este cambio de
cultura se refleja en todos los elementos y DI del modelo.
En la práctica, el uso de BMIS generará muchos cambios. Inicialmente, los elementos estáticos del programa de seguridad se incorporan al
modelo. Esto incluye conceptos y políticas, así como tecnología. Los estándares que están en uso o los marcos en TI forman parte de este
ejercicio de poblar BMIS con lo que ya existe. Paso a paso, se formará una imagen que resalta claramente las áreas fuertes y débiles en
términos de elementos y DI. Por ejemplo, el elemento Organización de seguridad puede ser un punto fuerte, pero el elemento Personas y
Factores Humanos DI pueden ser puntos débiles en el panorama general. En este punto, el modelo muestra su verdadero valor: las
debilidades de seguridad pueden observarse en cualquier parte de la empresa, pero la causa raíz puede estar en un área completamente
diferente. El trabajo sistémico sobre elementos y DI ayuda a descubrir estas relaciones de causa y efecto,
Posteriormente, cualquier cambio en el negocio puede introducirse en BMIS y traducirse en cambios de seguridad adaptables. El modelo, a su vez, visualizará la
retroalimentación que se produce dentro del sistema general y mostrará claramente lo que significa un cambio empresarial y lo que se debe hacer para
internalizarlo en el programa de seguridad. Del mismo modo, los patrones de comportamiento emergentes, la tecnología y las tendencias en la gobernanza se
pueden incorporar al modelo, que los abordará dentro del programa de seguridad.
En balance: análisis del programa de seguridad existente
En la mayoría de las empresas, ya existe algún tipo de programa de seguridad. Esto puede tener la forma de un conjunto de políticas y reglas, o una
colección de soluciones técnicas. El programa de seguridad está sujeto a la dirección general proporcionada por la gobernanza empresarial y sus áreas
subsidiarias, a saber, la gobernanza de TI y, en algunos casos, las disposiciones detalladas de gobernanza de seguridad. El programa de seguridad
implementa una capa por debajo del marco de gobernanza general. Aunque la gobernanza empresarial y los elementos relacionados son fuerzas
externas, influyen claramente en BMIS y en cómo se utiliza de acuerdo con las reglas aceptadas que se han establecido para la empresa. Además, es
probable que al menos una persona sea responsable (hasta cierto punto) de administrar y mantener la seguridad. Sin embargo, todo lo que existe en
términos de seguridad de la información puede ser heterogéneo y fragmentado, a veces con lagunas conocidas. Como paso inicial hacia la
implementación de BMIS, la gerencia debe hacer un balance y considerar el programa y las soluciones existentes, como se muestra enfigura 20. Este
ejercicio puede ser menos rígido que una auditoría de seguridad formal, ya que BMIS en sus fases posteriores revisará la fase de "balance" a intervalos
regulares.

Figura 20 — En balance: análisis del programa de seguridad existente
ORGANIZACIÓN
Leyes y regulaciones
GOBERNANTE
Gobernanza empresarial
AR
QU
A
IT
UR
EC
LT
TU
Cumplimiento de seguridad
CU
RA
PROCESO
HA
BIL Otros componentes
N ITA
RI CIÓ CIÓ
A NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Los siguientes párrafos ofrecen un breve resumen del análisis del programa de seguridad existente. Hay muchas otras formas de realizar este análisis y se
puede utilizar cualquiera de ellas. Para maximizar la eficiencia, los gerentes de seguridad también deben buscar informes de auditoría interna, informes de
auditoría externa, informes de certificación y otras fuentes de información que puedan ser relevantes para la seguridad. En las grandes empresas, puede ser
aconsejable contar con la ayuda de expertos externos para asegurarse de que haya un resultado claro e inequívoco de la fase de análisis.
Leyes y regulaciones
Como primer paso, el negocio debe analizarse en términos de ubicación geográfica, relaciones con clientes y proveedores y la cadena de suministro
en general:
• ¿Dónde se realizan los negocios? ¿Cuáles son los países relevantes?
• ¿Existen países de alto riesgo en términos de leyes y regulaciones relacionadas con la seguridad?
• ¿Existen 'valores atípicos', por ejemplo, clientes o proveedores que se encuentran fuera de los principales países donde se realizan negocios?
Una vez que se han identificado los países, regiones y otros impulsores comerciales distintos, las leyes y regulaciones aplicables se pueden asignar al
programa de seguridad y, más tarde, al BMIS. Por ejemplo, una empresa que haga negocios en los Estados Unidos y Europa encontrará ambos
conjuntos de leyes de privacidad y protección de datos aplicables: EE. UU. Sigue un enfoque, mientras que la mayoría de los países europeos
favorecen una perspectiva de privacidad más estricta. El programa de seguridad empresarial debe tener en cuenta ambos enfoques para brindar
garantía en términos de la ley. Esto no se logra únicamente con la seguridad de la información; el programa normalmente se basará en la estrategia y
el diseño organizacional existente que define y regula la privacidad a nivel empresarial. Cierto es que, Puede ser una tarea abrumadora identificar y
comprender las leyes y regulaciones de cualquier número de países. Sin embargo, existen puntos en común en términos de seguridad de la
información que permitirán a la administración definir estándares mínimos.
Cualquier ley y reglamento aplicable normalmente se correlacionará con el elemento Organización del modelo. Se gestionan y supervisan como parte
de la estructura organizativa en seguridad y cualquier cambio se desencadenará desde dentro de la estructura organizativa. En este sentido, las leyes
y regulaciones relevantes para la seguridad no son diferentes de cualquier otro requisito obligatorio en otras partes del negocio. La interpretación
posterior de las leyes y reglamentos reside en la DI Rectora, ya que la empresa se asegura gradualmente de que todas y cada una de las reglas
internas estén alineadas con los requisitos externos.

3. ucantaBMis
Gobernanza empresarial
En algunas jurisdicciones, las leyes y regulaciones se complementan con reglas o códices de gobierno empresarial. Esto último puede tener un
impacto en el programa de seguridad si una empresa decide adherirse a ellos, o si se requiere adherirse al gobierno de la empresa por otras razones
(listados, calificaciones, etc.). Desde la perspectiva de BMIS, es la propia empresa la que acepta y adopta reglas externas no vinculantes y las hace
parte de la estrategia de la organización. El programa de seguridad debe tener en cuenta las reglas, leyes y reglamentos no vinculantes como parte de
la adhesión a la gobernanza empresarial general, tal como se ha definido a nivel estratégico.
En términos de identificación de elementos del gobierno de TI y gobierno de seguridad, el enfoque más simple es utilizar el marco de COBIT
como un lenguaje común para expresar los objetivos y requisitos de gobierno. Como resultado, la gestión de la seguridad debe abordar:
• Normas o directrices de gobernanza adoptadas por la empresa.

• Partes de estas reglas o directrices relevantes para la TI y para la seguridad
• Mapeo de elementos de gobernanza relevantes para la seguridad en el marco de COBIT
De manera similar a las leyes y regulaciones, la gobernanza empresarial se corresponde con el elemento de Organización del BMIS y se implementa en los
niveles inferiores a través de la DI Gobernante.
Cumplimiento de seguridad
Además de los requisitos de seguridad específicos en la legislación y la regulación, las empresas deben garantizar un nivel general de cumplimiento de
seguridad. Este es un resultado directo de otros requisitos comerciales, por ejemplo, los requisitos de contabilidad y finanzas y auditoría externa. Por
ejemplo, la Ley Sarbanes-Oxley de los EE. UU. De 2002 requiere un sistema de control interno sobre los informes financieros.38
La mayoría de las empresas dependen en gran medida de TI para implementar y realizar su proceso de informes financieros. De ello se desprende que
los controles de TI y el cumplimiento son factores críticos en el cumplimiento general. Hay muchos otros requisitos de cumplimiento que pueden variar
entre empresas y sectores industriales, por ejemplo:
• Auditoría financiera, contabilidad y control
• Gestión de riesgos, específicamente riesgo operacional
• Archivo y recuperación de datos
Los requisitos de cumplimiento normalmente se asignan a dos elementos de BMIS: Organización y Tecnología. En algunos casos, puede ser necesario un mapeo al
elemento Personas si el comportamiento personal es un tema de cumplimiento. El reconocimiento de alto nivel de los requisitos de cumplimiento es parte de la DI
Gobernante, en línea con las leyes, los reglamentos y la gobernanza empresarial. Es más probable que los niveles más bajos de requisitos de cumplimiento, como
en la gestión de datos, pertenezcan a la Arquitectura DI. El cumplimiento requerido a nivel personal debe reflejarse en la Cultura DI, como cuando se espera que
las personas se comprometan personalmente con un código de ética u otro documento que exija la responsabilidad personal y el cumplimiento de las reglas.
Otros componentes del programa de seguridad

El ejercicio de balance debe concluirse identificando y enumerando cualquier otra parte del programa de seguridad existente que no se incluya en los
títulos anteriores. En muchas empresas existen vínculos entre la seguridad de la información y la seguridad general (física) que deben considerarse
para su inclusión. Asimismo, se debe analizar el uso de servicios de seguridad externos, como auditores de certificación o vigilancia electrónica, para
asegurar un conocimiento completo y una visión detallada del programa de seguridad existente. Algunos de estos componentes pueden incluir:
• Políticas y estándares de seguridad corporativa

• Programas de gestión de la continuidad de la gestión de instalaciones y las tecnologías de la información y la comunicación (TIC)
• Programas de gestión de la continuidad del negocio
• Políticas y procedimientos de salud y seguridad
• Requisitos de certificación, como la serie ISO 27000 o el nuevo estándar de auditor de servicio (SSAE 16 / ISAE 3402)
• Conceptos 'puente' y programas relacionados, como programas de monitoreo, servicios de seguridad externos y acuerdos de
subcontratación.
Dependiendo del componente de seguridad que se integre, las asignaciones a BMIS serán para todos los elementos y todos los DI. Cada componente
o servicio debe ser examinado en detalle y luego mapeado provisionalmente a un elemento y / o DI.
38 Para obtener una vista detallada de los requisitos relacionados con TI y la asignación a COBIT, consulte la publicación de ISACA Objetivos de control de TI para Sarbanes-Oxley: El papel de TI en el diseño e
implementación del control interno sobre la información financiera, 2Dakota del Norte Edición, Estados Unidos, 2006.

Poblando BMIS: Medidas y soluciones de seguridad existentes
Reuniendo información
Si bien el marco general de gobierno y gestión de la seguridad es un paraguas que cubre todos los aspectos de los elementos de Tecnología, Procesos,
Personas y Organización, existen muchas soluciones técnicas o de otro tipo y pasos prácticos para implementar, hacer cumplir y monitorear la
seguridad en toda la empresa. Para que el BMIS sea eficaz, estos deben tenerse en cuenta e integrarse adecuadamente, como se muestra enfigura 21.
El modelo en este contexto puede verse como una superestructura que se va poblando, paso a paso, con lo que ya está ahí. Naturalmente, habrá áreas
más fuertes y más débiles, pero es importante identificar primero todas las soluciones técnicas y de proceso.
Figura 21 — Soluciones y herramientas típicas
ORGANIZACIÓN
• CCTV • HIDS / NIDS
• DLP • Continuidad de las TIC
• Cambios de emergencia Software

• Monitoreo de empleados • Gestión de identificación
• Cifrado • Cambio
• Cortafuegos • Virtualización
• Análisis forense • VPN
GOBERNANTE
AR
QU
A
I
UR
TE
LT
CT
CU
UR
A
PROCESO
HA
BIL
N ITA
RI CIÓ CIÓ
A NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Las soluciones de seguridad individuales y las medidas tomadas generalmente se documentan como parte del marco general que la empresa ha
decidido usar, como ISO 27001. Para cada área será fácil identificar cualquier cantidad de soluciones detalladas técnicas o gerenciales que aborden la
seguridad específica. preocupaciones. Por ejemplo, el perímetro de la empresa podría estar protegido por firewalls (y zonas desmilitarizadas [DMZ]) y
sistemas de detección de intrusos (IDS, basados en host [HIDS] o basados en red [NIDS]). En términos de procesos de seguridad detallados, el
gerente de seguridad puede haber introducido un monitoreo continuo o un muestreo forense de registros.
Al usar BMIS, los gerentes de seguridad deben trabajar gradualmente a través de los diversos componentes del sistema de administración de
seguridad de la información y recopilar información sobre las soluciones operativas, las herramientas y los procesos resultantes. Esta lista no tiene por
qué ser exhaustiva ya que la naturaleza dinámica de BMIS permite cambios y adiciones posteriores.
Integración de soluciones individuales

Una vez que se han identificado la mayoría de las medidas y soluciones de seguridad, integrarlas en BMIS es sencillo. Se comparan con todos los
elementos y DI para identificar los enlaces relevantes (que se muestran más adelante enfigura 25). Los tres puntos a abordar son simplemente:
• ¿Cuál es la solución (tecnología, paso organizativo, proceso, basada en personas)?
• ¿Qué hace la solución y qué riesgos de seguridad aborda?
• ¿Qué admite la solución?
Por ejemplo, un sistema de detección de intrusos "es" tecnología (más específicamente, una combinación de hardware y software). Debe gestionarse
como tal y, por lo tanto, vive claramente en el elemento de tecnología de BMIS, como se muestra enfigura 22. La detección de intrusiones es un
proceso (ya sea basado en software o no) y "hace" precisamente eso: alerta a la gerencia sobre cualquier intento de intrusión o violación desde fuera
de la empresa. En este sentido el sistema de detección de intrusos como solución técnica vive en la DI de Habilitación y Soporte, y en la

3. ucantaBMis
Arquitectura DI. La detección de intrusiones habilita y respalda el proceso de defensa del perímetro, pero es solo una parte de ese proceso. Además,
proporciona un elemento importante que respalda a la organización de seguridad (y a los gerentes encargados de monitorear cualquier brecha de
seguridad), pero es solo una parte de la arquitectura general. Al combinar todos estos pensamientos, la solución de detección de intrusos se coloca
firmemente en el elemento Tecnología y en los dos DI que vinculan la Tecnología a otros elementos BMIS.
Figura 22 — Vinculación de una solución a BMIS
ORGANIZACIÓN
de
e Detección de intrusiones
rt
pa
GOBERNANTE
es Sistema
AR y os
QU o
ap
A
IT
UR
EC
LT
TU
CU
RA
PROCESO
es
HA
B ILI
ÓN TA
ICI CIÓ
AR NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Para una solución tecnológica típica para un problema de seguridad específico, es menos probable que los factores humanos DI (el comportamiento de las
personas y su interacción con la tecnología) desempeñen un papel, ya que la detección de intrusiones es manejada principalmente por expertos en TI y menos por
usuarios. Sin embargo, en una pequeña empresa u organización, es posible trazar otra línea desde la detección de intrusos hasta los factores humanos.
DI, como los casos en los que los usuarios instalan el software IDS y lo configuran ellos mismos. Incluso en un ejemplo ilustrativo comofigura 22, el IDS resulta
ser una fuente potencial de falla sistémica: cuando hay usuarios presentes, el DI de Emergencia puede influir en el proceso de detección de intrusos, lo que lleva a
cambios en el proceso mismo o en la forma en que se utiliza el software. Esto, a su vez, podría haber sido causado por la Cultura DI que ha influido en las
personas para que cambien su comportamiento y, posteriormente, provoquen nuevos comportamientos emergentes.
Para otras soluciones de seguridad menos orientadas a la tecnología, la integración de BMIS puede requerir más enlaces. Por ejemplo, un proceso innovador para
la gestión de cambios de emergencia puede tener implicaciones de seguridad importantes, pero no es propiedad exclusiva de la gestión de la seguridad. En estos
casos, BMIS permite una vez más una integración muy simple al separar las partes relevantes para la seguridad de la gestión de cambios de emergencia (ver
figura 23).
Las soluciones existentes, una vez integradas, eventualmente formarán un patrón que se refleja en los elementos y DI, como se muestra en figura 23.
Cada elemento cubrirá una serie de soluciones, al igual que cada DI. Como efecto secundario conveniente, observar cada elemento / DI y cómo se rellena
mostrará casi de inmediato cualquier brecha que exista en el panorama de la solución de seguridad. Sin embargo, el número de flechas enfigura 24 indica
claramente que las brechas en un elemento o DI pueden ser difíciles de cerrar directamente. Una sección posterior, Identificación de fortalezas y debilidades,
describe un enfoque pragmático para identificar y cerrar las brechas de seguridad que son visibles después de poblar BMIS.
Después de completar el modelo, es útil configurar asignaciones de soluciones de seguridad existentes en formato tabular, como se muestra en figura 24.
Las tablas son una herramienta importante para luego asignar responsabilidad por tareas y acciones que resultan de la vista BMIS.

Figura 23 — Integración de otras soluciones
ORGANIZACIÓN
Propiedad de la administración
general de TI: cambio
grupo de gestión
GOBERNANTE
Cambio de emergencia
AR
administración
QU
RA
IT
U
EC
LT
TU
CU
Piezas relevantes para la seguridad:
RA
PROCESO - Gobernanza del SGSI
HA
- codificación segura
BIL
N I - BC / DR
CIÓ
TA
CIÓ
RI NY
A PA AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Figura 24 — Elementos y soluciones de seguridad (ilustrativo)
Elemento Soluciones de seguridad vinculadas (* indica propiedad parcial)
Organización • Política de seguridad corporativa *
• Política de seguridad de la información
• Pautas y estándares de seguridad de la información

• Ciclo de certificación ISO 27001
Tecnología • Marco de gestión de identidad y acceso (incluidas herramientas)

• Marco de seguridad ERP
• Seguridad perimetral (detección de intrusos, DMZ)
• Nube / virtualización (software como servicio [SaaS], plataforma como servicio [PaaS], infraestructura como servicio [IaaS])
Proceso • Proceso de planificación de seguridad (trimestral)
• Presupuesto de seguridad *
• Proceso de monitoreo de la seguridad de la información
• Proceso de aplicación de la seguridad
Gente • Marco de formación y sensibilización

• Investigaciones *
• Evaluación de habilidades de seguridad de la información
En el curso del uso de BMIS en la práctica, ninguna de las soluciones y medidas de seguridad iniciales será estática. El pensamiento sistémico detrás de
BMIS requiere revisar y actualizar con frecuencia las soluciones y cómo interactúan con los elementos y los DI. Esto debe considerarse una ventaja: si
se aplica el pensamiento BMIS al proceso anual de planificación, presupuestación y gestión de programas, las mejoras se identificarán más fácilmente
y se plasmarán en proyectos de seguridad de la información. El enlace a los objetivos corporativos generales, como se muestra enfigura 25—Como
parte fundamental del propio BMIS— permite además a los altos directivos delinear de forma clara y concisa el rendimiento del riesgo de cualquier
solución o proceso de seguridad.

3. ucantaBMis
Figura 25 — Soluciones de seguridad asignadas a BMIS (ilustrativo)
Solución Lo que es Que hace Qué apoya

Cifrado (correo) Tecnología (software) Protege la confidencialidad y la integridad de los Arquitectura (parte del cifrado y la
datos de flujo confidencialidad generales)
Habilitación y soporte (admite

procesos de correo y comunicaciones)
Cultura (desaconseja el uso de canales de

correo electrónico abiertos para
información sensible)
Cifrado (almacenamiento) Tecnología (hardware y software) Protege la confidencialidad y la integridad de los Arquitectura (parte del cifrado y la
datos estáticos. confidencialidad generales)
Habilitación y soporte (admite

almacenamiento / archivo / infraestructura)
Administracion de incidentes Proceso Controla incidentes en TI Organización (gobernanza, riesgo,

cumplimiento)
Personas (contienen el impacto personal de los

incidentes)
En este sentido, BMIS aborda las necesidades y requisitos comerciales de manera directa, basándose en disposiciones estratégicas y tácticas. Las decisiones
comerciales resultantes se 'traducen' fácilmente en más actividades prácticas y medidas de seguridad que los gerentes de seguridad deben diseñar e
implementar.
Ejemplo
En muchas empresas, las brechas de seguridad internas y las 'amenazas internas' han sido un desafío de seguridad significativo durante años. De
hecho, hasta las tres cuartas partes de los ataques exitosos son de naturaleza interna o se inician desde dentro de la empresa. El problema es
complejo y de naturaleza sistémica:
• Los ataques internos son comparativamente raros, no a diferencia de los desastres naturales u otros eventos de baja frecuencia.
• Un 'insider' por definición es un usuario legítimo con derechos de acceso excesivos o en posesión de una nueva forma de atacar.
Como resultado, las amenazas a la seguridad interna a menudo se consideran impredecibles y, por lo tanto, inmanejables. Esto lleva a la alta dirección a concluir
que estos ataques no se pueden prevenir y que no se toman más medidas. Si se produce un ataque interno y dónde se produce, es probable que la dirección
sea reactiva e intente contener el problema. Al mismo tiempo, el enfoque de las soluciones tecnológicas se desplaza hacia los ataques externos, un elemento
más tangible y manejable. En algunas organizaciones esto puede ir acompañado de una cultura de "confianza" que desalienta hablar sobre la posibilidad de
ataques internos.
La solución en organizaciones exitosas cubre muchos aspectos de la seguridad. BMIS es una herramienta ideal para permitir la integración de una
solución integral que aborde los ataques internos en todos los frentes. Como se muestra en los siguientes párrafos, la solución es completamente
sistémica y su éxito no se puede atribuir a un solo paso; en la práctica, se necesita mucho trabajo para reducir la cantidad de ataques internos en
cualquier entorno.
El primer paso de la solución se sitúa en el elemento Personas del modelo. Es aquí donde los individuos actúan contra las reglas y contra los
intereses de la empresa. Desde un punto de vista sistémico, su motivación puede ser el lucro o la codicia, el descontento general con el lugar de
trabajo o la administración, la falta de reconocimiento personal o cualquier combinación de estos motivadores. Se han sugerido los siguientes pasos
prácticos para abordar estos posibles motivadores:
• Mejores prácticas de recursos humanos (RR.HH.): selección previa al empleo, supervisión de empleados, programas de asistencia a los empleados
• Programas de formación y educación en cumplimiento y comportamiento responsable
• Sin excepciones para los 'artistas estrella', introducción y mantenimiento de limitaciones claras a lo que los empleados pueden hacer
• Aplicación de las mejores prácticas de seguridad de la información, incluida la gestión de identidades y accesos.
• Estrategia de divulgación abierta y acción legal: publicar y enjuiciar
Para integrar la solución general en el modelo, los pasos deben asignarse a los elementos y DI según el "mejor ajuste".

Ejemplo (cont.)
Las prácticas de recursos humanos, como la selección previa al empleo, residen en el elemento Organización. Si bien los procesos de recursos humanos
serían externos a BMIS, su uso en el reclutamiento relacionado con la seguridad es un hecho. Parte de lo que se debe hacer antes y durante el empleo de
una persona con amplios derechos de acceso se encuentra en la DI Gobernante, ya que los procesos estarán sujetos a restricciones provenientes de
Recursos Humanos. En un contexto empresarial, BMIS puede ayudar a identificar patrones llamativos en el empleo, como la afluencia de personas bastante
jóvenes con salarios bajos o el posicionamiento de trabajos críticos para la seguridad en un departamento interno sin ascensos ni muy apreciado. Esto
ayudará aún más a identificar posibles problemas emergentes, como cuando los empleados tienen una sensación de descontento que posteriormente se
convierte en un plan para atacar la empresa.
La parte de formación y educación para resolver el problema de los ataques internos se coloca a menudo en el elemento de Organización y el DI de
Gobierno. Tanto la formación como otras formas de educación refuerzan lo que la organización espera de los empleados, pero es poco probable que
disuada a un atacante decidido. Para la gran mayoría de los empleados, la formación y la educación refuerzan lo que ya saben; sin embargo, estos
pasos también dan forma claramente al DI de Cultura, al proporcionar el "mensaje correcto" del elemento de Organización al elemento de Personas.
En la práctica, la aplicación de las reglas existentes, sin excepciones, se sitúa en la Cultura DI. El elemento Organización debe comunicar el
mensaje apropiado para garantizar que dentro del elemento Personas, se comprenda claramente la regla de 'no excepciones'. En términos
sistémicos, la aplicación de la regla de 'no excepciones' fortalece aún más la DI rectora y el elemento de proceso. También influye en la
Emergencia DI para prevenir la aparición de prácticas que pueden estar asociadas con individuos que se consideran fuera del conjunto
normal de reglas.
Las mejores prácticas de seguridad de la información deben subdividirse en sus partes componentes. La integración en BMIS probablemente se realizará a
nivel de elemento de la Organización (a través de políticas y estándares), dentro del elemento de Tecnología (aplicaciones que soportan IAM) y dentro del
elemento de Proceso (procesos que se vinculan con RR.HH. y la administración general).
El paso final hacia la integración completa de BMIS cubre el proceso de divulgación y enjuiciamiento, que es un componente importante de la
reducción general de ataques internos. En primera instancia, esta medida de seguridad se sitúa obviamente dentro del elemento de Organización, ya
que requiere decisiones de la alta dirección, así como reglas externas al BMIS. Sin embargo, comunicar y hacer cumplir este curso de acción tendrá
un impacto inmediato tanto en la DI Gobernante como en la DI Cultura.
En el ejemplo anterior, la solución existente, como se muestra en la lista con viñetas, está integrada a BMIS y cualquier brecha se hará visible una
vez que el problema de los ataques internos se analice de manera sistémica.
Integración de soluciones gestionadas

En el entorno empresarial actual, muchas soluciones de seguridad tienden a ser externas y administradas en lugar de internas. Esto crea muchos desafíos y los
gerentes de seguridad deben depender en gran medida de proveedores de servicios externos. Si bien la mayoría de los modelos de seguridad no anticipan la
subcontratación o la administración de terceros de productos y servicios relevantes para la seguridad, la integración en BMIS es bastante simple. Desde un
punto de vista práctico, el producto o servicio rara vez cambia solo porque ha sido entregado a un tercero. Las pruebas de vulnerabilidad, por ejemplo, son
técnicamente iguales si las realiza una empresa experta, al igual que el registro y el análisis de seguridad. La diferencia se encuentra a menudo en la relación
contractual, la responsabilidad y la rendición de cuentas por las soluciones de seguridad críticas. Por lo tanto, las soluciones administradas se pueden subdividir
convenientemente en:
• Proceso—PaaS son partes de la seguridad de la información.
• Tecnología—La tecnología, el hardware, el software o los servicios técnicos relacionados con la seguridad se compran a un proveedor externo
(generalmente mediante pago por uso), como SaaS / PaaS / IaaS.
• Gente—Se contratan recursos externos para realizar un trabajo relacionado con la seguridad.
Desde la perspectiva de BMIS, todas las relaciones con terceros y todos los productos o servicios administrados deben basarse en resultados. Para eso
se paga al proveedor, y el resultado debería ser exactamente lo que se podría esperar si el servicio se proporcionara internamente. Por lo tanto, se
puede integrar en el modelo como cualquier producto o servicio interno, como se muestra enfigura 26. La principal diferencia es que la entrega y la
calidad se rigen por un contrato que establece la relación entre dos o más partes. En BMIS, el contrato se coloca en la DI de Gobierno, donde se
colocarían otros instrumentos de gobierno (internos). Además de tener un contrato, la mayoría de las empresas aplican métricas y medidas para
controlar mejor el cumplimiento del contrato. Una vez más, los controles y procesos de medición forman parte del DI Rector, ya que muestran
claramente cómo la Organización (como elemento) controla el Proceso (como elemento), incluso si estos son comprados de una fuente externa.

3. ucantaBMis
Figura 26 — Integración de soluciones de seguridad administradas
Producto / Servicio Bases contractuales Métricas / Monitoreo
ORGANIZACIÓN
GOBERNANTE
AR
QU
A
IT
UR
E
LT
CT
CU
UR
A
PROCESO
HA
BIL
ÓN ITA
RICI CIÓ
NY
A
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
En términos de seguridad de la información, las soluciones gestionadas son, por tanto, muy similares a las soluciones internas. En BMIS se integran igual que
cualquier otra solución, pero existe una dimensión adicional (contrato y controles relacionados).
Alineación de estándares y marcos con BMIS
Muchas empresas están utilizando una serie de estándares y marcos reconocidos en seguridad de la información.
A menudo se los considera un subconjunto de la gama más amplia de estándares generales de TI para las BMIS ha sido diseñado para tener la flexibilidad
operaciones de gobierno, riesgo, cumplimiento u operaciones de TI. La adherencia a un estándar generalmente

incorporada para adaptarse a la mayoría de los
significa que se ha realizado un esfuerzo significativo para seguir la estructura y los requisitos, particularmente
en tecnología. BMIS ha sido diseñado para tener la flexibilidad incorporada para adaptarse a la mayoría de los estándares actualmente en uso en
estándares actualmente en uso en seguridad de la información. Esto incluye, como primera capa, aquellos
seguridad de información.
estándares que abordan específicamente la seguridad de la información.
en el sentido más amplio. La segunda capa de alineación cubre los estándares generales de TI que tienen un impacto directo o indirecto en la
seguridad. Como tercer nivel de alineación, es posible que deban considerarse normas específicas, según el sector industrial y los posibles requisitos
reglamentarios. La siguiente sección describe un enfoque práctico para alinear BMIS con cualquier estándar existente que una empresa ya haya
adoptado.
Gestión de la seguridad de la información

En el núcleo de la estandarización dentro de una empresa, los estándares de seguridad de la información utilizados deben estar alineados con BMIS.
Las políticas y estándares se posicionan en la DI Rectora del modelo ya que influyen tanto en los elementos de Organización como de Proceso. El
modelo en sí a menudo necesita una mayor alineación en términos del contenido de los estándares, como en la seguridad física o la gestión de
acceso.Figura 27 muestra cómo los estándares están alineados con el modelo general como primer paso, y figura 28 ilustra la alineación de BMIS
con los capítulos individuales y el contenido de los estándares.

Figura 27 — Estándares de seguridad comunes y BMIS
NIST SP ORGANIZACIÓN
ISO 27000
800-53 Serie
GOBERNANTE
ISO 24762 BS 25777
AR
QU
A
I
UR
TE
LT
CT
CU
UR
A
ISO PAS PROCESO
ISO 15408
22399 HA
B ILI
ÓN TA
R ICI CIÓ
NY
A PA AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Dependiendo de los estándares de seguridad de la información que se utilicen a nivel empresarial, es posible que la alineación deba repetirse a
intervalos regulares, como cuando la organización emisora actualiza o amplía un estándar. Este puede ser el caso cuando una serie de estándares se
alimenta de una o dos normas de alto nivel, como ISO 27000.
Figura 28: contenido de NIST SP 800-53 alineado con BMIS (solo ejemplo ilustrativo)
ORGANIZACIÓN
Evaluación de riesgos
GOBERNANTE
AR
Planificación
A
QU
UR
I
LT
TE
Adquisición de S&S
CU
C
TU
R A
... PROCESO
HA
B ILI
N TA
RI CIÓ CIÓ
NY
APA AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS

3. ucantaBMis
Para cada estándar, los gerentes de seguridad deben asignar los capítulos o cláusulas individuales a los elementos y DI dentro de BMIS. En la práctica,
esto conducirá a una serie de relaciones entre el modelo y el contenido detallado del estándar de seguridad de la información, lo que también ayudará
a identificar responsabilidades y roles dentro de la organización de seguridad de la información. Por ejemplo, la persona o personas responsables de
la evaluación de riesgos desde la perspectiva de las normas se asignarían a partes del elemento Organización y el
Gobernante DI.
Gestión general de TI
Además de los estándares específicos de seguridad de la información, muchas empresas han adoptado e
implementado una guía de gestión de TI más genérica, como la Biblioteca de infraestructura de tecnología
de la información (ITIL). Si bien estos estándares son mucho más amplios que la seguridad, a menudo
contienen componentes importantes que deben tenerse en cuenta cuando se trabaja en la seguridad de la
Los gerentes de seguridad deben
información. Por lo tanto, BMIS debe alinearse con estos estándares y marcos más genéricos de una mirar el marco COBIT, que facilitará
manera similar a los estándares específicos (consulte la sección anterior).
la alineación entre la administración
general de TI y BMIS, como un

Los gerentes de seguridad deben mirar el marco COBIT, que facilitará la alineación entre la
herramienta conveniente.
administración general de TI y BMIS, como una herramienta conveniente. Figura 29 ilustra cómo la
mayoría de los estándares reconocidos se han asignado a COBIT,39 que puede actuar como bisagra
entre los estándares y el modelo.
Figura 29 — Alineación de marcos genéricos con BMIS (ilustrativo)
ORGANIZACIÓN
ITIL
GOBERNANTE
COBIT
CMMI
AR
Mapeos
QU
RA
IT
TU
EC
L
TU
CU
RA
PROCESO
...
HA
B ILI
I ÓN TA
RIC
CIÓ
A NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Diagnóstico BMIS: identificación de fortalezas y debilidades
Una vez que las soluciones de seguridad de la información se han integrado con el modelo y se ha completado la alineación con los estándares existentes, el
siguiente paso en el uso de BMIS es un análisis exhaustivo de las fortalezas y debilidades. En la mayoría de las empresas, algunos aspectos de la seguridad de la
información están bien desarrollados, mientras que otros pueden estar menos maduros. Si bien esto suele ser conocido por los expertos en seguridad, el uso de
BMIS permite a la administración identificar causas y efectos. Un ejemplo es una debilidad encontrada en una solución técnica que no debe verse de forma
aislada, ya que la causa raíz puede ser una falla arquitectónica o incluso un problema de política. De manera similar, un punto fuerte en la tecnología puede ser
el resultado de una acción organizacional o una simple emergencia. Para evitar trabajar con los síntomas, BMIS puede ayudar
en la estructuración del análisis de fortalezas y debilidades.
39 En sus versiones futuras, COBIT integrará naturalmente BMIS en gran medida, lo que facilitará aún más la alineación de los estándares de gestión de TI.

Análisis situacional
El primer paso para identificar las fortalezas y debilidades es un análisis exhaustivo de la situación basado en el BMIS completamente poblado y
estandarizado. Dado el enfoque sistémico que está en el corazón del modelo, cualquier elemento o DI es un buen punto de partida. Para cada
elemento, el modelo debe contener la información mínima agregada previamente:
• Políticas, métodos y controles existentes
• Soluciones, herramientas y procedimientos detallados existentes
• Partes relevantes de los estándares de seguridad de la información
• Partes relevantes de los estándares generales de TI
La forma más sencilla de representar esta información es un formato tabular, como se muestra en figura 30. Si bien estas listas pueden ser bastante
largas a primera vista, son fáciles de administrar y actualizar en los ciclos posteriores de actividad de BMIS.
Figura 30 — Listado de fortalezas y debilidades para el elemento de personas (ilustrativo)
Artículo Escribe Fuerza / Debilidad
ISO 27001: Política de InfoSec Política Debilidad: existe, pero está
ISO 27001: Verificación de antecedentes de los empleados Procesal desactualizada. Debilidad: no existe.
ISO 27001: Capacitación en seguridad de los empleados Procesal Fuerza: está bien desarrollado y se sostiene con frecuencia.
ISO 27001: Despido del empleado Procesal Fortaleza: se cumplen todos los criterios y no hay brechas en el proceso de salida.
Para cada elemento y DI, este ejercicio proporcionará una imagen de lo que se ha hecho en seguridad y el nivel de madurez general. Si bien las políticas, los
estándares y los controles generales suelen ser sencillos de identificar y enumerar, es probable que los requisitos de los estándares de seguridad de la información
y los estándares generales de TI sean más completos, pero se enumeren convenientemente en la tabla de contenido y la estructura de los estándares.Figura 31
muestra el resultado final de este primer paso en el análisis de la situación. Una vez que estas tablas se hayan consolidado, las repeticiones posteriores del análisis
de la situación podrían ampliar la información, tal vez en forma de cuadros de mando integrales. Sin embargo,
el principio básico sigue siendo el mismo.
Figura 31 — Tablas informativas para elementos y DI
ORGANIZACIÓN
Mesas/ Mesas/
Elementos DI
GOBERNANTE
AR
QU
R A
I
TU
TE
C
L
TU
CU
RA
PROCESO
HA
BIL
N ITA
I CIÓ CIÓ
AR NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
58 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved .

3. ucantaBMis
El segundo paso para analizar la situación es dar la vuelta a las tablas en términos de cada elemento. Un ejemplo es el requisito de ISO 27001 de
tener una política de seguridad, que probablemente aparezca en varias tablas:
• Elemento de organización
• Elemento de personas
• Cultura DI
En muchos casos, el mismo elemento, en este caso la póliza, recibirá una calificación diferente, según el punto de vista. Por ejemplo, una política de
seguridad de la información puede verse como una fortaleza en el elemento de Organización, pero como una debilidad en términos de Cultura DI. Del
mismo modo, los folletos de seguridad de los empleados pueden ser un punto fuerte en el elemento Personas, pero una debilidad en el elemento
Organización. Estas diferencias se harán aún más visibles en soluciones técnicas o procedimientos detallados. Al trabajar con las tablas, el
el resultado podría verse como figura 32.
Figura 32 — Mapeo de elementos individuales (ilustrativo)
Sistema de detección de intrusos
Elemento de tecnología Arquitectura Habilitación y apoyo Factores humanos
Fuerza: es una solución Neutral: está respaldado por la Debilidad: hay muchos falsos Neutral: los empleados no tienen exposición
técnica integral. infraestructura. positivos; es lento; ocurren algunas directa a la herramienta.
intrusiones reales.
El artículo que se muestra en figura 32 es difícil, ya que obviamente es sólida como solución tecnológica, o como la gente de tecnología la ve, pero menos
popular cuando se ve desde los procesos que se supone que respalda. En la práctica, este es un fenómeno que los gerentes de seguridad experimentan con
mucha frecuencia: un tema en la seguridad de la información se aborda desde el punto de vista tecnológico, pero la realidad dentro de los procesos
comerciales es diferente. Al revisar las tablas BMIS de esta manera, un profesional de seguridad experimentado sabrá de inmediato cuál es el problema con la
detección de intrusiones.
Una vez que se haya completado el análisis de la situación, BMIS destacará estos 'síntomas' de debilidades relativas o fortalezas y discrepancias en
la percepción y la evaluación. Asimismo, cualquier ítem que sea evaluado unánimemente como fortaleza será claramente visible al comparar la
información tabular. La vista sistémica asegura que cada solución o procedimiento de seguridad se vea desde todas las perspectivas.
Análisis de raíz de la causa

Una vez que se ha completado el análisis de la situación, se deben conocer todas las fortalezas y debilidades del conjunto completo de elementos y DI. Para
mantener las fortalezas como están y abordar las debilidades, es necesario identificar las causas fundamentales. Como se indicó anteriormente, en la práctica,
las verdaderas razones de una debilidad de seguridad que se observa en el día a día pueden estar ocultas o ubicadas en otra parte de la organización. El
enfoque sistémico en BMIS es nuevamente útil para proporcionar una guía paso a paso para descubrir más sobre las causas fundamentales. Para cualquier
debilidad (o fortaleza) de seguridad dada, los siguientes pasos revelarán la imagen completa:
• ¿Es esta una debilidad trivial (por ejemplo, la herramienta no funciona o necesita corrección de errores)?
• ¿Está la causa raíz dentro del (los) elemento (s) donde se encuentra la debilidad?
• ¿La causa raíz dentro de las DI apunta a otros elementos?
• ¿Está la causa raíz en otros elementos y está indirectamente relacionada con la debilidad?
Un administrador de seguridad experimentado realizará todos estos pasos de forma casi intuitiva. De esta forma, muchos problemas de seguridad se
resuelven muy rápidamente. Sin embargo, es más conveniente poder enumerar problemas y soluciones dentro de BMIS para garantizar la integridad y
mostrar claramente el proceso para llegar a una causa raíz después de una serie de pasos lógicos. La mayoría de las veces, los profesionales de seguridad
experimentados lo hacen bien, pero les resulta difícil explicar cómo. En este sentido, BMIS proporciona ayuda práctica para documentar los pasos y las
conclusiones intuitivas.
Figura 33 ilustra una debilidad trivial. El IDS parece ser menos eficaz, ya que genera alertas de falsos positivos y, lo que es más grave, no previene
intrusiones reales. La primera idea es verificar dentro del elemento Tecnología para determinar si el producto utilizado está causando dificultades,
posiblemente debido a errores de configuración o instalación defectuosa. En este caso particular, ambas causas raíz son bastante probables, ya que los
productos IDS estandarizados existen desde hace algún tiempo y parecen funcionar bastante bien en otras situaciones prácticas. Arreglar la
configuración como siguiente paso remediará la debilidad (que debería ser visible al instante) o señalará una causa raíz más compleja.

Figura 33 — Causa raíz: una debilidad trivial
ORGANIZACIÓN
Debilidad:
Detección de intrusiones
GOBERNANTE
no está trabajando-
AR
falsos positivos y
QU
A
IT
UR
EC
las intrusiones reales hacen
LT
TU
CU
suceder.
RA
PROCESO
HA
B ILI
ÓN TA
R ICI CIÓ
NY
A
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Figura 34 muestra cómo una debilidad es visible por primera vez en el elemento Personas. En este caso, el primer síntoma es que las personas están usando
contraseñas débiles y se ha compartido la contraseña. Definitivamente, ambos síntomas no son apropiados en términos de seguridad de la información, pero la
causa raíz no es una cuestión de preferencias individuales o empleados que no lo desean. Como segundo paso, la Cultura DI puede quedar fuera de la imagen, ya
que las estructuras organizativas y las políticas de contraseñas suelen existir. Sin embargo, la configuración práctica de contraseñas es una cuestión de
tecnología: cómo se crean, solicitan, almacenan las contraseñas, etc. Parece que los usuarios, por alguna razón, tienen dificultades con la forma en que el
elemento Tecnología maneja las contraseñas.
Figura 34 — Causa raíz: debilidad en Element y DI
Debilidad: ORGANIZACIÓN
Seguridad de la contraseña
es insuficiente;
las contraseñas son
GOBERNANTE
siendo compartido
AR
entre los empleados.

QU
A
IT
UR
EC
LT
TU
CU
RA
PROCESO
HA
B ILI
N TA
IÓ CIÓ
A RIC NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS

3. ucantaBMis
Para debilidades más complejas, el enfoque sistémico de BMIS podría verse como figura 35. En este caso, hay un
problema bien conocido que a menudo se ve en la práctica: si bien existen estrictos controles técnicos para el acceso de
los usuarios, en muchos casos, hay usuarios 'fantasmas' que hace mucho que han sido despedidos. En este ejemplo, el
proceso de TI parece estar bien, ya que todo lo que se recibe en los sistemas de gestión de ID se procesa debidamente.
El problema es que los datos de los usuarios son simplemente incorrectos. Esto podría deberse a varias razones, pero es
claramente de naturaleza administrativa y organizativa. El siguiente paso lógico en una visión sistémica es, por tanto, la
Arquitectura DI, que destaca una desconexión entre la tecnología y el aspecto organizativo de la gestión de ID. Esto, a
su vez, lleva a la pregunta de cómo se gobiernan ambos procesos (TI y RR.HH.) y el impacto posterior en los problemas
observados.
Figura 35 — Causa raíz: varios elementos y DI
TI a RR.HH.
interfaz
deficiente
Problemas en
ORGANIZACIÓN
tecnología
IDENTIFICACIÓN y
administración administración
proceso
GOBERNANTE
Debilidad:
deficiente
Administración de identificación
AR
QU
deficiente,
A
IT
UR
EC
LT
TU
usuarios terminados
CU
RA
PROCESO reteniendo el acceso

HA derechos a los sistemas
BIL
ÓN ITA
ICI CIÓ
AR NY
AP AP
OY
O
GENTE TECNOLOGÍA
FACTORES HUMANOS
Técnicamente
correcto
Del lado de TI, pero
Usuarios
información incorrecta
no influir
proceso
Esta secuencia lógica debería eventualmente encajar con las tablas anteriores (figuras 30 y 32) que analizan cada solución de seguridad de la
información y control desde el punto de vista de los elementos y las DI. La parte del análisis de la causa raíz del trabajo con BMIS debe ser una
imagen reflejada de las observaciones situacionales iniciales. Por ejemplo, cuando la detección de intrusos se reconoce como un 'trivial
debilidad 'en el ejemplo anterior, esto debería encajar con la visión inicial sobre la detección de intrusiones en figura 32. En la actualidad:
• Los tecnólogos ven la detección de intrusos como una 'solución integral', que es desde la perspectiva de una herramienta estándar.
• La arquitectura es neutral porque, en teoría, la herramienta debería funcionar bien.

• El DI de habilitación y soporte muestra los problemas percibidos por los propietarios de procesos en el IDS operativo que son los únicos indicadores (desde un
punto de vista situacional) de que algo anda mal.
• El DI de Factores Humanos es neutral porque los usuarios no tienen forma de saber qué los protege (o no).
Este ejemplo muestra claramente que las cosas observadas en el análisis de la situación muestran solo una parte de la imagen. El análisis de la causa raíz revela
por qué está presente la deficiencia en la DI de habilitación y apoyo y las razones subyacentes para ello. De manera similar, el ejemplo de las deficiencias en la
gestión del DI se puede trabajar desde las observaciones iniciales (situacionales) hasta los pasos lógicos que conducen a una conclusión sensata.
Poniendo BMIS en movimiento: viaje de mejora
Si las observaciones de la situación indican una cosa y el análisis de la causa raíz lleva a una perspectiva completamente diferente sobre las fortalezas y
debilidades, el resultado podría ser un entorno de seguridad de la información corporativa en el que es difícil remediar las debilidades o fomentar las fortalezas
que son evidentes. Una de las preguntas más interesantes es cómo cambiará el estado general de la seguridad de la información si se toman medidas o si se
realizan inversiones de seguridad específicas. El éxito o el fracaso de cualquier actividad relacionada con la seguridad será visible de inmediato, pero puede ser
mucho más difícil explicar por qué ciertas cosas funcionan y otras no. El ejemplo simple de compartir contraseñas como una debilidad de seguridad demuestra
esto: ¿Las personas comparten porque las contraseñas son demasiado complejas? ¿O simplemente están empantanados por la burocracia en su negocio diario?
Las respuestas a estas preguntas son importantes para la gestión de la seguridad, ya que determinarán el curso de acción para la corrección y mejora.
En cualquier sistema complejo, cambiar una cosa conducirá inevitablemente a más cambios en otras partes del sistema. Para que este cambio sea
predecible y controlable, los procesos y controles de seguridad tradicionales deben traducirse en subsistemas del sistema general de gestión de
seguridad de la información. Este primer paso en el viaje de mejora muestra claramente cómo los procesos (subsistemas) evolucionan con el tiempo y
cómo reaccionarán a los cambios introducidos por los administradores y profesionales de seguridad. El desglose del sistema general en componentes
manejables se relaciona con BMIS, ya que los subsistemas más pequeños están todos dentro de los elementos y las DI.
Los subsistemas de seguridad muestran inmediatamente cómo pueden ser influenciados por la actividad interna o externa, y cuáles serán las
consecuencias si se ejerce influencia de una forma u otra. Para el gerente de seguridad, el enfoque BMIS destaca lo que podría lograr una inversión y
cuáles podrían ser los resultados deseados (y a veces inadvertidos). El modelo utiliza pensamiento circular en lugar de lineal.
pensamiento, como se ilustra en figura 36.
Figura 36 — Vista lineal frente a circular
Inicial Deseado
Lineal Agua
Agua Agua
Flujo
Modelo Nivel Nivel
Grifo / grifo
Circular Deseado
Posición
Agua i
Modelo Nivel Crtem Inor
no
i
infl
te
um
Flt
et
uen
umno
InoFrtl
iC
rtem
cia
Percibido
i
Brecha
Agua
Flujo
i
irCtem
InoFrt
Actual tu
letum
mno
no
Cem tle
InoFr
rt
i Agua
i
Nivel

3. ucantaBMis
Sobre la base de subsistemas de seguridad circular, los pasos y acciones de mejora se pueden orientar allí donde serán más eficaces. Luego, las
acciones individuales y las medidas de seguridad se integran en el contexto del sistema general y cómo se comporta.
Como paso final para comenzar el viaje de mejora de BMIS, el modelo permite una visión clara de cómo la dinámica del sistema conduce a actividades,
comportamientos y patrones que se integran más con el tiempo, particularmente en términos del nivel de seguridad general de la empresa. Uno de los
principales objetivos del uso de BMIS es aprovechar al máximo estos efectos y comprenderlos completamente en la seguridad de la información diaria.
Conversión de procesos de seguridad en subsistemas de seguridad

Los procesos de seguridad a menudo se consideran lineales: hay actividad, una respuesta técnica y organizativa y observaciones posteriores de cómo
están cambiando las cosas. Por ejemplo, el monitoreo de ataques internos y externos generalmente se considera un proceso de seguridad continuo que
involucra recursos organizacionales, tecnología y documentación de cualquier problema que surja. Esto se ve como lineal porque existen los ataques (o
intentos) iniciales, una reacción inmediata y aspectos de registro y procesamiento. Si bien esto responde a la pregunta dequé está sucediendo,
infracciones de seguridad, no explica por qué esta pasando. Para identificar las relaciones subyacentes de causa y efecto, cada proceso de seguridad
debe verse de forma circular (sistémica).Figura 37 ilustra esto con el ejemplo de los ataques internos y lo que
está detrás de ellos.
Figura 37 — Ataques internos como subsistema de seguridad
Total Explotar
Empleados Disponibilidad Ataque
Probabilidad
Atractivo
de destino
TOTAL CAMBIAR EN
Disminuido
ATAQUES ATRACTIVOS Atractivo
Número de
Interno
Atacantes
Aumentado
Detectado Atractivo
Ataques
Identificado
Vulnerabilidad
La representación circular crea de manera efectiva subsistemas de seguridad que se analizan y comprenden más fácilmente. Como un paso en este
ejemplo lleva a otro, el número de ataques totales está influenciado por varios criterios externos: el número de atacantes y la disponibilidad de exploits
o vectores de ataque convenientes. Sin embargo, la empresa responderá de forma sistémica: los ataques detectados apuntan a determinadas
vulnerabilidades identificadas. Un mayor número de vulnerabilidades obviamente conduce a un mayor atractivo de un ataque, al igual que la falta de
monitoreo o contramedidas. Una vez que se sabe que la empresa es vulnerable desde dentro, esto puede cambiar el atractivo general como objetivo y
aumentará la probabilidad general de un ataque.
Si esto continúa, la empresa quedará atrapada en un bucle sistémico de ataques cada vez mayores. En un modelo lineal, pueden surgir
muchas soluciones que detendrían esto. Sin embargo, tratarían los síntomas en lugar de la causa raíz, que es el atractivo percibido. Para salir
del bucle sistémico, la gestión de la seguridad tendrá que reducir claramente el atractivo por cualquier medio. Esto se puede lograr
invirtiendo en medidas de seguridad que aborden uno o más de los pasos en el ciclo o en los factores de influencia externa.
De manera similar, los subsistemas circulares deben formarse a partir de otros procesos y soluciones de seguridad identificados en toda la empresa. En la práctica,
la mayoría de estos círculos, con sus dependencias, ya son conocidos por los profesionales de la seguridad. Sin embargo, rara vez se formalizan o documentan.
BMIS es una herramienta útil para identificar y categorizar esta información en función de los procesos de seguridad existentes.
Acciones y pasos de mejora

En cualquiera de los subsistemas de seguridad identificados y descritos, hay algunos puntos en los que los gerentes de seguridad pueden
influir en el ciclo circular. Algunas cosas siempre se dan y no se pueden cambiar en la práctica, como la cantidad de exploits que se sabe que
existen o la cantidad de empleados que podrían tener las habilidades para realizar un ataque interno. Del mismo modo, es muy difícil influir
en el número de intentos externos de atacar la empresa (pero es posible influir en su tasa de éxito). Otros elementos del

Los circuitos sistémicos son más accesibles y pueden mejorarse mediante inversiones específicas y reforzando la seguridad. La visión sistémica de BMIS destaca
claramente el apalancamiento en cada subsistema y las opciones disponibles en términos de inversión o introducción de medidas técnicas de seguridad.
Figura 37 muestra cómo se aborda el problema de los ataques internos de manera paso a paso utilizando los factores de influencia
disponibles de manera gradual. Para cada acción, hay un enlace a la estructura original de BMIS. Esto informa y permite el mapeo de las
acciones tomadas al análisis tabular de la situación actual y las posibles causas raíz, como se describió anteriormente.
Figura 38 muestra lo que podría lograr una inversión en la actualización de las políticas de seguridad. En términos del modelo, la inversión pertenece
al elemento Organización, ya que agrega estructura y gobernanza al sistema general de seguridad de la información. En la práctica, invertir en
mejores políticas reduciría el número de atacantes internos, mientras que reducir el número de exploits disponibles (el otro factor de influencia) es
bastante difícil.
Figura 38 — Inversión en el elemento de organización
Total Explotar
Probabilidad
Atractivo
de destino
Política TOTAL CAMBIAR EN

Disminuido
Inversión ATAQUES ATRACTIVOS Atractivo
Número de
Interno
Atacantes
Aumentado
Detectado Atractivo
Ataques
Identificado
Vulnerabilidad
Es poco probable que una inversión singular en la actualización de las políticas sea suficiente para detener los ataques internos. Por lo tanto, el segundo
paso es generar conciencia invirtiendo en programas relacionados, como se muestra enfigura 39. Esto no cambia a los humanos ni a las estructuras
organizativas, por lo que se coloca en la Cultura DI del modelo. Después de los dos primeros pasos para mejorar la seguridad de la información, tanto el
elemento de Organización como la Cultura DI han resultado ser objetivos útiles para las inversiones en seguridad.
Figura 39 — Invertir en la cultura DI
Total Explotar
Probabilidad
Atractivo
de destino

Disminuido
Número de
Interno
Atacantes
Conciencia Detectado
Aumentado
Atractivo
Inversión Ataques
Identificado
Vulnerabilidad

3. ucantaBMis
Dentro del bucle circular que determina el número de ataques internos, hay más puntos que permiten la interacción con el sistema en general, como
se muestra en figura 40. La tasa de detección de ataques es una defensa importante contra ataques oportunistas o de baja intensidad, y muchos
perpetradores pensarán dos veces antes de atacar si la probabilidad de ser atrapados es alta. Una inversión en detección de intrusos, como parte de la
arquitectura de seguridad general, ayudará a reducir el número total de ataques intentados o exitosos. A diferencia de las inversiones en políticas y
sensibilización, esta acción está diseñada para influir directamente en el ciclo sistémico. Del mismo modo, la inversión en el escaneo de ataques a nivel
de sistema y aplicación centra la atención en lo que está sucediendo dentro del ciclo y reduce la cantidad de vulnerabilidades existentes. En
combinación, estas dos medidas de seguridad arquitectónicas aumentan el nivel de protección dentro del sistema.
Figura 40 — Invertir en la arquitectura DI
Total Explotar
Probabilidad
Atractivo
de destino

Disminuido
Número de
Interno
Atacantes
Conciencia Detectado
Aumentado
Atractivo
Inversión Ataques
Identificado
Vulnerabilidad
Intrusión
Detección
Inversión
Interno
Exploración
Inversión
Para completar la secuencia de acciones que se basan en el modelo circular o subsistema de ataques internos, existen puntos de influencia adicionales
disponibles. La respuesta a incidentes garantiza que los ataques detectados se traten de la manera adecuada, lo que aumenta el riesgo para los
atacantes. De manera similar, la clasificación y la obtención de datos disminuyen el atractivo general del objetivo. Debido a que estos pasos requieren
modificaciones del proceso, se encuentran dentro del elemento Proceso del modelo (figura 41).
© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. sesenta y cinco

Figura 41 — Invertir en el elemento del proceso
Datos
Clasificación
Inversión
Total Explotar
Probabilidad
Atractivo
de destino

Disminuido
Número de
Interno
Atacantes
Conciencia Aumentado
Incidente
Detectado Atractivo
Inversión Ataques Respuesta
Identificado Inversión
Vulnerabilidad
Intrusión
Detección
Inversión
Interno
Exploración
Inversión
Aprovechando la dinámica del sistema

Cualquier sistema, ya sea simple o complejo, reaccionará a los cambios internos y externos. El sistema retroalimentará o retroalimentará,
dependiendo de las dependencias circulares, como se muestra en el ejemplo anterior. Este comportamiento se puede utilizar para mejorar la
seguridad general y aprovechar la naturaleza de autorrefuerzo de muchos sistemas. En lugar de utilizar un enfoque simple de "más de lo mismo",
como suele ser el caso en la seguridad práctica de la información, el enfoque de sistemas mostrará muy temprano en el proceso si las nuevas medidas
de seguridad son realmente mejoras. Como primer paso, las amplias sugerencias para mejorar la situación en términos de ataques internos se
pueden traer de vuelta a un formato tabular para administrarlos en el día a día, como se muestra enfigura 42.
Figura 42 ofrece una descripción general de lo que se debe hacer a un alto nivel para reducir el número de ataques internos. Las diversas
inversiones ahora se dividen en componentes manejables al vincularlos a la gobernanza, el riesgo y el cumplimiento conocidos.
marcos. Como ejemplo, se asignan a COBIT enfigura 43.
Figura 43 — Medidas de seguridad de alto nivel y COBIT
Inversión / mejora de seguridad Enlaces COBIT
Inversión en políticas PO1, PO4, PO6, PO8, PO9, DS5, DS7, ME4
Inversión en conciencia PO6, PO7, DS7, ME4
Inversión en detección de intrusiones PO2, PO3, AI3, AI4, AI7, DS5, DS9, DS13
Inversión en respuesta a incidentes PO7, PO9, DS8, DS10, ME2
Inversión en clasificación de datos PO2, PO9, DS3, DS5, DS11
Dependiendo de la situación y los objetivos generales de TI de la empresa, los componentes de COBIT se pueden aplicar de diferentes maneras,
pero todos los elementos deben tenerse en cuenta al subdividir la inversión en pasos y soluciones manejables. El mapeo de las ideas y conceptos
generales en seguridad de la información con el marco de COBIT asegura aún más que el entorno existente de riesgo, cumplimiento y gobernanza
de TI sea reconocido e integrado en el programa de seguridad.

3. ucantaBMis
Conclusión
A medida que los profesionales de la seguridad continúan enfrentándose a desafíos cambiantes, es necesario examinar nuevas soluciones a los problemas de
seguridad de la información. Comprender el BMIS y el pensamiento sistémico en relación con los programas de seguridad de la información puede ser beneficioso
para cualquier persona que necesite gestionar los riesgos de seguridad de la información. ISACA desarrollará informes de investigación adicionales que exploren
los DI y su impacto en el desempeño del programa de seguridad de la información. Además, se ofrecerá orientación práctica centrada en el uso del modelo en
diferentes escenarios. BMIS también servirá como base para el próximo marco de seguridad de COBIT.

Figura 42 — Medidas de seguridad de alto nivel
ORGANIZACIÓN ORGANIZACIÓN
Gobernante
Gobernante
Ar
Ar
qu
qu
ite
a
r
ite
ltu
r
ltu
ct
ct
Cu
ur
Cu
ur
a
a
PROCESO PROCESO
Ha Ha
n b n b
ió Ap ilita ió Ap ilita
r ic oy r y ric oy r y
pa o A pa o
A
GENTE Factores humanos TECNOLOGÍA GENTE Factores humanos TECNOLOGÍA
Política Conciencia
Inversión Inversión
ORGANIZACIÓN ORGANIZACIÓN
Gobernante
Gobernante
Ar
Ar
q
qu
ui
ra
ra
ite
te
ltu
ltu
ct
ct
Cu
Cu
ur
ur
a
PROCESO PROCESO
Ha Ha
n b
ón b
ic
ió Ap ilita i Ap ilita
r o ry ic
pa yo ar oy r y
o
A Ap
GENTE Factores humanos TECNOLOGÍA GENTE Factores humanos TECNOLOGÍA
Intrusión Incidente
Detección Respuesta
Inversión Inversión
ORGANIZACIÓN
Gobernante
Ar
qu
ra
ite
ltu
ct
Cu
ur
a
PROCESO
Ha
n b
ió Ap ilita
aric oy r y
Ap o
Datos
Clasificación
Inversión

isacapprofesionalgramoorientación PAGuBlicaciones
ISACA PRofeSSIonAl gramouIdAnCe PAGublicaciones

Muchas publicaciones de ISACA contienen cuestionarios de evaluación detallados y programas de trabajo. Por favor visitawww.isaca.org/bookstore
o correo electrónico bookstore@isaca.org para más información.
Marcos y modelos
• El modelo de negocio para la seguridad de la información, 2010

• COBIT® 4.1, 2007
• Valor empresarial: gobernanza de las inversiones en TI, The Val ITTM Marco 2.0, 2008
• ITAFTM: Un marco de prácticas profesionales para la garantía de TI, 2008
• El marco de riesgo de TI, 2009
Publicaciones relacionadas con BMIS

• Introducción al modelo de negocio para la seguridad de la información, 2009
Publicaciones relacionadas con COBIT

• Alineando COBIT® 4.1, ITIL V3 e ISO / IEC 27002 para beneficios comerciales, 2008
• Construyendo el caso comercial para COBIT y Val IT Reunión informativa ejecutiva, 2009
® TM:
• COBIT® y controles de aplicaciones, 2009

• COBIT® Prácticas de control: guía para lograr los objetivos de control para una gobernanza de TI exitosa, 2Dakota del Norte Edición, 2007
• COBIT® Mapeo: mapeo de CMMI® para el desarrollo V1.2 con COBIT® 4.0, 2007
• COBIT® Mapeo: mapeo de FFIEC con COBIT® 4.1, 2007
• COBIT® Mapeo: Mapeo de ISO / IEC 17799: 2000 con COBIT®, 2Dakota del Norte Edición, 2006
• COBIT® Mapeo: Mapeo de ISO / IEC 17799: 2005 con COBIT® 4.0, 2006
• COBIT® Mapeo: mapeo de ITIL con COBIT® 4.0, 2007
• COBIT® Mapeo: mapeo de ITIL V3 con COBIT® 4.1, 2008
• COBIT® Mapeo: mapeo de NIST SP 800-53 con COBIT® 4.1, 2007
• COBIT® Mapeo: mapeo de PMBOK® Con COBIT® 4.0, 2006
• COBIT® Mapeo: Mapeo de CMM de SEI® para software con COBIT® 4.0, 2006
• COBIT® Mapeo: mapeo de TOGAF 8.1 con COBIT® 4.0, 2007
• COBIT Mapeo: descripción general de la orientación internacional de TI, 2
® Edición, 2006 Dakota del Norte
• COBIT Inicio rápido 2

® TM, Edición, 2007
Dakota del Norte
• COBIT Línea de base de seguridad 2

® Edición, 2007
TM, Dakota del Norte
• COBIT Guía del usuario para administradores de servicios, 2009

®
• Implementar y mejorar continuamente la gobernanza de TI, 2009

• Guía de aseguramiento de TI: uso de COBIT 2007 ®,
• Objetivos de control de TI para Basilea II, 2007

• Objetivos de control de TI para Sarbanes-Oxley: El papel de TI en el diseño e implementación del control interno sobre la
información financiera, 2Dakota del Norte Edición, 2006
• ITGI permite la adopción de ISO / IEC 38500: 2008, 2009
• SharePoint® Implementación y gobernanza mediante COBIT® 4.1: Un enfoque práctico, 2010
Publicación relacionada con riesgos de TI
• La Guía para profesionales de TI de riesgos, 2009
Publicaciones relacionadas con Val IT

• El caso empresarial: uso de Val ITTM 2.0, 2010
• Valor empresarial: introducción a la gestión del valor, 2008
• Guía de gestión de valor para profesionales de aseguramiento: utilizando Val IT ™ 2.0, 2010
Orientación ejecutiva y de gestión
• Una visión ejecutiva de la gobernanza de TI, 2008

• Una introducción al modelo de negocio para la seguridad de la información, 2009
• Reunión informativa de la junta sobre gobernanza de TI, 2 Edición, 2003 Dakota del Norte
• Definición de los requisitos del puesto de gestión de la seguridad de la información: orientación para ejecutivos y gerentes, 2008
• Identificación y alineación de objetivos comerciales y de TI: informe de investigación completo, 2008
• Gobernanza de la seguridad de la información: orientación para las juntas directivas y la dirección ejecutiva, 2 Edición, 2006
Dakota del Norte

Orientación ejecutiva y de gestión (cont.)
• Gobernanza de la seguridad de la información: orientación para los administradores de seguridad 2008

• Gobierno de la seguridad de la información: acciones principales para los gerentes de seguridad, 2005
• Gobernanza de TI y madurez de los procesos, 2008
• Prácticas y competencias del dominio de la gobernanza de TI:
- Gobernanza de la subcontratación, 2005
- Riesgos de la información: ¿De quién son los negocios? 2005
- Alineación de TI: ¿Quién está a cargo? 2005
- Medir y demostrar el valor de la TI, 2005
- Optimización de la creación de valor a partir de inversiones en TI, 2005
• Mesas redondas de gobernanza de TI:
- Definición de gobernanza de TI, 2008

- Desafíos de personal de TI, 2008
- Valor de desbloqueo, 2009
- Entrega de valor, 2008
• Gestión de la integridad de la información: cuestiones de seguridad, control y auditoría, 2004
• Comprender cómo los objetivos comerciales impulsan los objetivos de TI, 2008
• Valor de desbloqueo: un manual ejecutivo sobre el papel fundamental del gobierno de TI, 2008
Orientación para profesionales
• Programas de auditoría / aseguramiento:
- Programa de aseguramiento / auditoría de gestión de cambios, 2009

- Programa de auditoría / aseguramiento de computación en la nube, 2010
- Programa de aseguramiento / auditoría de gestión de crisis, 2010

- Programa genérico de auditoría / aseguramiento de aplicaciones, 2009
- Programa de aseguramiento / auditoría de gestión de identidades, 2009
- Programa de aseguramiento / auditoría de la gestión de la seguridad de la información, 2010
- Programa de aseguramiento / auditoría de planificación de continuidad de TI, 2009
- Programa de garantía / auditoría de seguridad del perímetro de la red, 2009

- Programa de aseguramiento / auditoría de entornos de TI subcontratado, 2009
- Asegurar el programa de auditoría / aseguramiento de dispositivos móviles, 2010
- Programa de garantía / auditoría de gestión de incidentes de seguridad, 2009
- Programa de auditoría / aseguramiento de desarrollo de sistemas y gestión de proyectos, 2009
- Programa de garantía / auditoría de seguridad del sistema operativo UNIX / LINUX, 2009
- Programa de auditoría / garantía de Windows Active Directory, 2010
- Programa de garantía / auditoría de seguridad de z / OS, 2009
• Ciberdelincuencia: respuesta a incidentes y análisis forense digital, 2005
• Gestión de identidad empresarial: gestión de acceso seguro y controlable en el entorno empresarial ampliado, 2004
• Resultados de la encuesta de progreso profesional en seguridad de la información, 2008
• Armonización de la seguridad de la información: clasificación de la orientación global, 2005
• OS / 390 — z / OS: Funciones de seguridad, control y auditoría, 2003
• Seguridad y control de redes peer-to-peer, 2003
• Riesgos de la gestión de la relación con el cliente: un enfoque de seguridad, control y auditoría, 2003
• Conciencia de seguridad: mejores prácticas para servir a su empresa, 2005
• Problemas críticos de seguridad, 2005
• Aprovisionamiento de seguridad: gestión del acceso en empresas ampliadas, 2002
• Pasando por el programa InfoSec, 2007
• Pasando por la auditoría de SI, 2 Edición, 2004
Dakota del Norte
• Serie de referencias técnicas y de gestión de riesgos:

- Funciones de seguridad, auditoría y control Oracle® Base de datos, 3rd Edición, 2009
- Funciones de seguridad, auditoría y control Oracle® Suite E-Business, 3rd Edición, 2010
- Funciones de seguridad, auditoría y control PeopleSoft, 2Dakota del Norte Edición, 2006
- Funciones de seguridad, auditoría y control SAP®ERP, 3rd Edición, 2009
• Principales resultados de la encuesta de negocios / tecnología, 2008
• Libros blancos:
- Computación en la nube: beneficios comerciales con perspectiva de seguridad, gobernanza y garantía, 2009
- Nuevo estándar de auditor de servicios: una perspectiva de entidad de usuario, 2010
- Protección de dispositivos móviles, 2010
- Redes sociales: beneficios comerciales y perspectivas de seguridad, gobernanza y garantía, 2010


3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.
UU. Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrónico: info@isaca.org
Sitio web: www.isaca.org

El Modelo de Negocio para La Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Modelo de Negocio para La Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

El modelo de negocio

para la seguridad de la información

Copia personal de Andrés Alfonso Pacheco Solano (Cédula ISACA: 1412904)

Sitio web: www.isaca.org

2 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Junta Directiva de ISACA

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 3

Afiliados y patrocinadores de ISACA / IT Governance Institute

4 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

1. Introducción ............................................... .................................................. .................................................. ................................................ 9

2. Modelo de negocio para la seguridad de la información ........................................... .................................................. ................................................. 13

3. Usando BMIS .............................................. .................................................. .................................................. ................................................ 47

Publicaciones de orientación profesional de ISACA .............................................. .................................................. .............................................. 71

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 5

Página dejada en blanco intencionalmente

6 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Figura 1: El costo creciente de las infracciones de seguridad

1 Ponemon Institute, 'Cost of a Data Breach', EE. UU., 2010, www.ponemon.org/data-security

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 7

Página dejada en blanco intencionalmente

8 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 9

establezca como un habilitador comercial

impacto en el negocio. seguridad de la información se establezca como un habilitador comercial sólido al

3 Diccionario de la herencia americana, Estados Unidos, 2003

10 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Combinando modelos, marcos y estándares

9 Instituto Británico de Estándares, ¿Qué es un estándar? Reino Unido, 2010

12 Instituto Ponemon, op. cit.

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 11

Resultados de la seguridad de la información

12 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

2. bUSO metroodel para InfoRmAcIón SeCuRidad

Figura 2: descripción general del modelo comercial para la seguridad de la información

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 13

Figura 3 — Elemento de organización en BMIS

GENTE Factores humanos TECNOLOGÍA

14 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

La teoría del diseño organizacional es un campo completamente documentado. Durante

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 15

Impacto organizacional en la seguridad

dieciséis © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Es imperativo que el gerente de seguridad comprenda, dé cuenta y aborde las organizaciones

gerente entiende, cuenta y

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 17

Figura 4 — Elemento de proceso en BMIS

GENTE Factores humanos TECNOLOGÍA

Atributos de los procesos

Enfoque sistémico de los procesos

18 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

Figura 5: Proceso de gestión de incidentes de seguridad

Tema: Es necesario corregir el proceso de gobernanza en curso.

4. Infracciones identificadas por terceros

(Enfoque sistémico) Tema: proceso de gobernanza en curso

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 19

causar daños y tener un impacto significativo en el negocio.

Figura 6 — Elemento tecnológico en BMIS

ORGANIZACIÓN Cultura GENTE

18 Merriam Webster, Estados Unidos, 2009

20 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.

de alarma de incendio hasta el más sofisticado puedan tener un impacto en la seguridad

© 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved. 21

22 © 2 0 1 0 ISACA. All R Yo peleo S R e S e R ved.