Buscar este blog

jueves, 12 de enero de 2012

Muy feliz año!!, espero que este nuevo año traiga mucha felicidad y tranquilidad a todos.
Bueno, ya que en estas fiestas uno de los principales objetivos es alimentar los lazos familiares y sociales con numerosas reuniones alegres y llenas de anécdotas, no queda mucho tiempo extra para actividades como un blog, así que, con algo de culpa y remordimiento decidí, como abrebocas,  traerles un artículo que publiqué algunos años atrás.
Y lo planteo como abrebocas ya que actualmente me encuentro desarrollando el tema de medición para modelos de seguridad de la información que prontamente les traeré, medición teniendo en cuenta lo que quiere ver la alta gerencia.
Espero sea de su agrado.




GESTIONAR LA INSEGURIDAD PARA MEJORAR LA SEGURIDAD DE LA INFORMACIÓN: Un marco conceptual para la medición de la inseguridad.

 
El verdadero objetivo de la seguridad no es eliminar la inseguridad,
 es enseñarnos a convivir con ella.


INTRODUCCION

En la era actual[1], la información y en particular el conocimiento que se puede generar a partir del mismo, es reconocido [2] por la sociedad como un factor indispensable para su desarrollo.  Así, el conocimiento permite a una sociedad o cualquier organización marcar una diferencia y tomar ventajas en cualquiera que sea la temática a competir.  La información, entonces se convierte en un elemento estratégico y el cuidado de la misma, teniendo en cuenta sus características[2] que permitan generar un buen conocimiento, se ha convertido en uno de los desafíos más importantes hoy en día de nuestra sociedad y organizaciones que la conforman.

Afortunadamente nuestra sociedad ha ido tomado acciones [3] sobre la protección de la información, acciones que se iniciaron desde el punto de la seguridad informática, pasando por la seguridad de la información y llegando a la Gestión de la Seguridad de la Información.

Pero, ¿Cuál es la diferencia entre la seguridad de la información y la gestión de la misma?, ¿Cómo o cuándo una organización puede establecer que no sólo tiene seguridad de la información sino que la gestiona?.

Uno de los aspectos sobre los cuales se puede marcar la diferencia entre la seguridad de la información y la gestión de la misma es el mejoramiento o evolución de ésta de acuerdo a las necesidades de la organización.  De forma abreviada, gestionar la seguridad es garantizar que las medidas y controles que tenemos para proteger nuestra información son en cada momento los indicados y no sólo la apreciación en un instante de su ciclo de vida.  Ya que:

  • Conocemos la información de la organización y la que debemos proteger.
  • Conocemos de qué la debemos proteger.
  • Conocemos por qué se ha implementado cada control de protección.
  • Conocemos la efectividad de los controles.

Ahora, este mejoramiento necesario para la gestión, no puede ser realizado sino existe medición alguna sobre la temática, medición que nos permitirá determinar en que estamos fallando de acuerdo a los objetivos planteados. Pero en algo tan subjetivo como la seguridad, ¿cómo realizamos esta medición?, la medición así, se convierte en un reto en muchas ocasiones frustrante.
El presente documento tiene como objetivo plantear un marco para la medición de la gestión de la seguridad de la información, basado en la inseguridad, factor clave para determinar la efectividad de la gestión en si misma.



 
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Lo lograste, ve y mejóralo!

-       Fers0n.

ISO define el Sistema de Gestión de Seguridad de la Información, de ahora en adelante SGSI,  como parte de un sistema de administración, que basado en un análisis de riesgo, permite la implementación, operación, monitoreo, revisión, mantenimiento y mejora de la seguridad de la información [4].  Desde luego cada una de estas acciones está orientada a proteger la información importante para el cumplimento de la misión[3], donde la misión define la razón de la existencia de la organización en si.

Los sistemas de gestión poseen actividades que están orientadas a tratar la problemática particular y otras acciones cuyo objetivo es “Gestionar” y/o “permitir” las primeras. Es así como podemos plantear entonces acciones que indudablemente se deben desarrollar, y otras, que de acuerdo a nuestras necesidades, en este caso la seguridad de la información, necesitamos implementar. Las primeras son los procesos del sistema de gestión y las segundas son los controles particulares a desarrollar de acuerdo al análisis de riesgo realizado.

De acuerdo a lo anterior podemos plantear los siguientes procesos para el SGSI[4]:

  • Procesos de Administración del Sistema de Gestión (SG).
  • Proceso de Inventario y clasificación de activos de información.
  • Proceso de gestión del riesgo.
  • Proceso de gestión de incidentes.
  • Proceso de gestión de la cultura de SGSI.

¿Cuál es la razón del planteamiento anterior[5]?.  Debido a que se considera que sin la existencia de cualquiera de ellos no puede establecerse un SGSI.  De igual forma podría pensarse en otros procesos como la gestión de la continuidad del negocio, pero estos son considerados como controles y no hacen parte constitutiva del SGSI, es decir, éste (el SGSI) puede existir sin contar con él[6], por el contrario no lo podría hacer sin un proceso de inventario y clasificación de activos, el cual indica que información se debe proteger y como se debe tratar.

A continuación se describen muy brevemente estos procesos

Proceso de administración del SG: Dentro de este proceso se encuentran aquellas actividades propias del sistema de gestión, entre estás se encuentran: el control de la documentación y registros, la revisión del SG por parte de la dirección o gerencia de la organización, la definición de las responsabilidades, las acciones correctivas y preventivas y las auditorias al SG entre otras. Estas actividades son similares en cualquier sistema de gestión independiente del tema que éste maneje, es por esta razón que es plasmado alrededor de los demás procesos, ya que es éste el que permite la gestión (alineado al PHVA) de los procesos particulares a la seguridad de la información.  Ahora una vez una organización haya puesto en marcha este proceso con cualquier temática particular[7], incluir una nueva será mucho más fácil. Ver gráfica No 1.




Gráfica No 1. Procesos del Sistema de Gestión de la Seguridad de la Información.


Proceso de inventario y clasificación de activos de información: En este proceso se requiere identificar, valorar y clasificar los activos de información más importantes del negocio y así darles el tratamiento adecuado. Un activo de información en el contexto de un SGSI y con base en la norma ISO/IEC 27001:2005 es: “algo a lo que una organización directamente le asigna un valor y por lo tanto la organización debe proteger” [5].
Proceso de gestión del riesgo: El proceso de gestión del riesgo consiste en la definición de una metodología para su manejo, una identificación del riesgo, un análisis del riesgo y un plan para el tratamiento del mismo que permita disminuir su nivel a un estado aceptable.  Dentro del plan para el tratamiento de riesgo se plantean los controles que llevaran el riesgo al nivel deseado, y es así como en este proceso se incluye la gestión de éstos[8].

Proceso de gestión de incidentes: El objetivo principal de este proceso es definir acciones que permitan manejar adecuadamente los incidentes[9] a través de un esquema que involucra actividades de manera cíclica: Preparación, detección y análisis, contención y actividades post incidentes para evitar la ocurrencia nuevamente del incidente. [6].  Este proceso es fundamental para la medición de la efectividad de los controles implementados siempre y cuando los incidentes sean relacionados con los controles que debieron impedir su ocurrencia.
Proceso de gestión de la cultura de SGSI: El proceso de gestión de la cultura provee el conocimiento acerca de la seguridad de información, a medida que el personal progresa en el desarrollo de la cultura, la necesidad de la misma es interiorizada y su rol es desarrollado. Así, al desarrollar el rol, el personal comienza a actuar de forma más segura y a utilizar las medidas implementadas. Dentro del proceso se incluyen etapas como: sensibilización, entendimiento, uso efectivo de las medidas.

Es recomendable que el proceso de administración del SG, aquel que permite que el sistema de gestión gire, sea introducido dentro de la empresa como un proceso en sí, con un flujo bien determinado, actividades, actores y responsabilidades acordes ya que forma en si la verdadera gestión de un sistema basado en el PHVA[10] el cual garantiza el monitoreo, la medición de resultados, y la definición e implementación de la mejoras.  La existencia de este proceso en la organización facilita la inclusión de nuevos sistemas de gestión sin la necesidad de crear nuevas actividades.

Los demás procesos planteados, que caracterizan un SGSI, se deben definir de igual manera con sus actividades, actores y responsabilidades. Pero a diferencia del anterior, estos procesos es recomendable introducirlos dentro de las funciones ya existentes en la organización, ya que es primordial no generar actividades extras de seguridad sino hacer las actividades del negocio de forma segura, de esta manera el impacto de la inclusión de un SGSI en la organización se lleva al mínimo.


 

PLANTEAMIENTO DE UN MARCO CONCEPTUAL PARA LA MEDICIÓN DE LA INSEGURIDAD EN UN SGSI.

“No todo lo que puede ser contado cuenta,
 y no todo lo que cuenta puede ser contado”.

-       Albert Einstein.

La pregunta del millón es entonces ¿Qué puede ser contado que cuente?. Una vez definido en el apartado anterior un marco de gestión es relativamente sencillo abordar un marco para la medición de esta gestión. Algo recomendable es utilizar la misma estructura, tanto para la gestión como para su medición, esto obviamente nos permite establecer una relación directa en “Como lo hago, lo mido”.

Así se genera una estructura de Indicadores de Gestión, IGs[11], (ver gráfica No 2), que van desde los aspectos operativos, abordando los tácticos y alimentado los estratégicos, éstos últimos la razón de ser del marco de gestión. El primer nivel, I.G. SGSI, el nivel estratégico, define los IGs que se desprenden de los objetivos a alcanzar en un periodo de medición, estos determinarán cuales son los IGs relevantes a nivel táctico y operativo.  Los IGs de color verde, el segundo nivel, enmarcan cada uno de los procesos planteados como indispensables dentro del SGSI, de esta manera cada aspecto puede llegar a ser medido.  Como se mencionó anteriormente los diferentes controles y desde luego su medición, se encuentran dentro de la gestión del riesgo.

Los IGs de color amarillo, nivel operativo, son aquellos encargados de alimentar todo el marco ya que definen la medición particular a realizar.


 
Gráfica No 2. Marco conceptual para la medición de la inseguridad en un SGSI.


En este instante podría entrar una segunda pregunta al escenario ¿Por qué definir un marco, si lo interesante debería llegar a ser los indicadores en sí mismos?.  Los indicadores de gestión deben ser enmarcados de acuerdo a las políticas y objetivos de la organización y de la seguridad de la información, no pueden ser estáticos, ni establecidos de forma unilateral por algún área, pues así no medirán lo que se desea realmente mejorar.

Es así, como los IGs para la medición de la gestión de la seguridad de la información deben definirse partiendo de lo que la organización desea evolucionar o mejorar en un lapso de medición determinado, y de esta manera apoyarán la consecución de los objetivos propuestos.

Por ejemplo, si una organización plantea como objetivo el mejoramiento de la cultura organizacional en el tema de seguridad de la información, indicadores adecuados para la medición del cumplimiento de este objetivo serían: el número del personal capacitado sobre el personal total; la eficiencia de las capacitaciones y el número de incidentes de seguridad relacionados con la falta de cultura de seguridad, entre otros.  Por el contrario IGs como el cubrimiento a los procesos por parte del SGSI o el número de revisiones realizadas por la dirección no nos sería de mucha ayuda en el seguimiento y mejora para la consecución del objetivo planteado.

Ahora, lo anterior no pretende expresar que estos otros IGs no sean útiles, de hecho lo son, pero se desea hacer énfasis en medir lo que realmente nos interesa, buscando el enfoque y visualización de los objetivos planteados y así no quedar inmersos en la información misma.

¿Cuál es el papel que juega la inseguridad en este planteamiento?. Partiendo de la problemática descrita en [7] en la cual la seguridad posee un gran componente subjetivo ya que es percepción propia de cada sujeto lo que la convierte en algo complejo para su medición, la inseguridad se convierte en candidata importante debido a su objetividad, al ser una realidad perceptible, observable y verificable, siendo en si la fuente misma para el análisis de riesgo del cual se desprenden los controles a desarrollar [7].

Complementando y de acuerdo a lo planteado en este artículo, ¿Cuál sería el proceso que puede proveer información de inseguridad en un SGSI?, El proceso de gestión de incidentes. Es así como este proceso es tan importante en nuestro SGSI, ya que suministra la información prioritaria que permite el mejoramiento en el sistema. Al relacionar cada incidente con la temática afectada, se puede retroalimentar (ver gráfica No 2) la forma como se están ejecutando los procesos básicos y mejor aún determinar la eficiencia de los controles[12] implementados ya que se puede establecer cuáles de ellos fallaron (y cómo lo hicieron) y permitieron la ocurrencia de un incidente.

Con la implementación de un proceso de gestión de incidentes[13] con sus IGs gestionamos la inseguridad, retroalimentado los procesos constitutivos del SGSI y sus IGs con la información de inseguridad, gestionamos la seguridad de la información.


CONCLUSIONES

En el momento que una organización decide emprender el cambio de tener seguridad de la información a gestionarla, debe afrontar varios retos dentro de los cuales se encuentra la medición de la eficiencia de sus acciones en torno a la seguridad con el objeto de garantizar un verdadero mejoramiento, y así una gestión que no se quede sólo en el papel.  La medición de la seguridad se convierte en un reto cada vez mayor debido a lo dinámica de la misma y a su alto grado de subjetividad. En este escenario nada alentador el concepto de inseguridad llega al rescate, permitiendo, desde un punto de vista más objetivo, obtener información relevante, medible, que permite retroalimentar los procesos constitutivos de un Sistema de Gestión de la Seguridad de la Información y generar una mejora que se puede evidenciar.  Para lograr lo anterior se plantea entonces un marco conceptual para medir la inseguridad a través del proceso de gestión de incidentes y a la vez retroalimentar los procesos de seguridad con lo cual se puede determinar las falencias existentes y las mejoras a desarrollar, produciéndose así, la anhelada gestión.


REFERENCIAS
[2] Plan Nacional de tecnologías de la Información y las Comunicaciones.  http://www.colombiaplantic.org.
[4] Willett, K.; How to Achieve 27001 certification. An Example of Applied Compliance Management. USA, 2008.
[5] ISO/IEC 27001:2005.
[6] Cárdenas, F.; Gestiones de Seguridad de la Información en las Organizaciones. 2007.
[7] Cano, J.; Inseguridad Informática y Computación Anti-forense: Dos Conceptos Emergentes en Seguridad de la Información. ISACA 2007. www.isaca.org.



[1] La era en la cual nos encontramos es el tecno-capitalismo o economía intangible, en la que los cuatro recursos claves para la actividad económica y la ventaja competitiva serían: El conocimiento, colaboración, compromiso y calidad temporal. [1].
[2] Las características básicas que se consideran en la seguridad de la información son la confidencialidad, integridad y disponibilidad. Lo anterior no limita a la organización a establecer otras características relevantes a proteger para su misión.
[3] Existen algunas organizaciones que pueden sobrevivir sin el cumplimiento de su misión.
[4] De acuerdo al estándar ISO/IEC 27001:2005.
[5] No es el tema principal de discusión del presente documento.
[6] Un SGSI puede existir sin un proceso de gestión de continuidad del negocio, pero debe ser claramente justificada la no necesidad del mismo.
[7] 9000, Gestión de Calidad; 14000, Gestión Ambiental; 1800, Salud Ocupacional y Seguridad Laboral; 27000,.Gestión de la Seguridad de la Información, entre otras.
[8] Aspecto clave para la definición del marco conceptual para los indicadores de gestión del SGSI a describir más adelante.
[9] Incidente de seguridad de la información está indicado por un evento o serie de eventos inesperados o no deseados de seguridad de la información, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de los activos de información. [5].
[10] ISO avoca a las cuatro fases para el establecimiento de un SGSI, PHVA: Planear, Hacer, Verificar y Actuar. [4].
[11] De ahora en adelante IG.
[12] Aspecto importante a la hora de la implementación y certificación de un SGSI bajo la norma ISO/IEC 27001:2005.
[13]Gestión” de Incidentes se entiende como un proceso que se encuentra inmerso dentro de un SGSI y así puede mejorar.

martes, 8 de noviembre de 2011

¿Cuál es el objetivo?

En días recientes, en una actividad académica, un compañero me interrogaba con emoción (como quien tiene una primicia) sobre la posibilidad de que una organización diseñara, implementara y certificara un modelo de seguridad de la información en cuestión de meses (dos para ser más exactos).
Al oír la interrogante plantee mi negativa de forma rápida, sintiendo un poco de culpa ya que no permití terminar el relato.
Posteriormente mi compañero terminaba su historia, comentándome que en un evento reciente una organización planteo como caso de éxito, exactamente lo cuestionado. Como ingeniero, comenté con incredulidad: ¡sin ver no creer!, y le pedí información de evidencia del mencionado evento.
La expectativa fue grande esperando la información para corroborar dicho anuncio, y así fue: Un caso de éxito en el cual se había implementado y certificado una organización en ISO 27001 en tan solo dos meses.
Luego de darle vueltas a la presentación (en la cual no encontré estrategia alguna para tan increíble logro) y de recordar un cuestionamiento similar en una lista de correo de seguridad, decidí escribir mi opinión (siempre con el ánimo de construir). Opinión no sobre el tema del tiempo de implementación y certificación (ya que para esto se necesitaría información como: alcance del modelo, ubicación geográfica, cultura organizacional y algunas respuestas más), que desde luego, si es plateado formalmente por una organización, merece toda mi credibilidad; sino en algo más de fondo que me parece más interesante y al cual se le puede extraer un tinte académico.
Esto es: ¿Cuál es el objetivo de un modelo de seguridad de la información?, esta pregunta es mi principal caballito de batalla hace un tiempo; ya que siento que en algunas ocasiones este norte se ha perdido. No es extraño hoy en día ver modelos de seguridad, sobre todo el descrito por la norma ISO/IEC 27001:2005[1], guiados desde un punto de vista meramente operativo[2] y basados casi en su totalidad por el afán de una documentación ejemplar dejando a un lado la pregunta básica: ¿funciona?; y ni hablar del objetivo último de un modelo de esta índole: La continuidad del negocio[3].
Ahora, a este objetivo final, debemos adicionar su esencia: Habilitar el negocio (entre otras mediante el apoyo de los objetivos estratégicos del negocio, ¡no operativos!), generar valor al mismo y por  ende a los stakeholders, asegurar los procesos, mejorar continuamente y lo mejor de todo: debemos medirlo y demostrar que estamos logrando éstos objetivos[4].
Así detallando lo anterior un poco más, ¿Cuáles serías los objetivos, y cuáles no, de algunas de las principales actividades de un modelo de seguridad de la información como es el de la norma ISO/IEC 27001:2005?, mirémoslo de manera resumida:

Política de Seguridad de la Información:
·         El no objetivo: No es un objetivo tener un documento, llamado política; ni un libro gordo de Petete con ciento cincuenta páginas de políticas de segundo y tercer nivel, para llenar un ítem de una lista de chequeo de implementación. He llegado a presenciar posiciones tan erradas, desde mi perspectiva desde luego, que es más importante la forma y el nombre de este documento que su mismo contenido, implementación y validación de cumplimiento; incluso llegando a pretender que una empresa cambie toda su estructura documental por un aspecto de forma en éste documento.  

·         El objetivo: El objetivo de la política es plantear el norte del modelo de seguridad y los objetivos del mismo, y ésto se debe poder demostrar. Así, y ya que un modelo de seguridad debe su vida a la empresa[5] (ya que no se concibe su existencia sin el negocio que lo necesita), este documento debe estar alineado con las políticas de la organización y los objetivos deben apoyar de manera clara los objetivos estratégicos de la misma. En conclusión, las políticas retóricas planteadas a través de formas encontradas en internet, donde se plantea “una garantía de seguridad universal”, no sirven; primero porque no desarrollan objetivamente algo y segundo porque no se ha entrado a analizar lo que necesita la empresa a la luz de su esencia de negocio y su visión. En este punto, aunque está dicho entre líneas, quiero recalcar lo siguiente porque lo considero importante: La política del modelo de seguridad, no es la política de tecnología de la información, y mucho menos la política de seguridad informática que maneja éste mismo proceso, ya que este es sólo un proceso en los cuales el modelo de seguridad tiene injerencia (esta sería una de las muchas razones que existen).

Gestión de Activos y Riesgos
·         El no objetivo: No es misterio para implementadores de este modelo, que estas actividades son actividades que demandan un tiempo considerable. Pero el objetivo de esta actividad no es tener formatos y formatos con cantidades impresionantes de información, ni tener una metodología en particular. Peor aún, a diferencia de lo planteado en muchos escenarios donde le dan una importancia titánica a estas actividades, no son el objetivo de un modelo de seguridad. Estas actividades son un medio, no el fin. Son las herramientas principales para la toma de decisiones en los modelos de seguridad, pero el trabajo apenas inicia.  En ocasiones, algunos encargados de modelos al ser cuestionados por esta actividad, despliegan una cantidad de información que le daría envidia a la mismísima enciclopedia Larousse; pero a las preguntas: ¿y bueno, que has realizado con esta información?, ¿Qué decisiones se han tomado con esto?, ¿Cómo has protegido estos activos?, ¿Cuáles son los activos más críticos?, ¿cómo has minimizado los niveles de riegos?, ¿cómo has manejado el costo-beneficio a la hora de implementar los controles o medidas?, ¿el modelo ha protegido los activos de acuerdo a lo requerido por los procesos?; no hay más que una mirada al techo.

·         El objetivo: Blindar a los procesos protegiendo sus activos, llevando a un nivel aceptado por la organización, los niveles de riesgo.  Creo que es claro, saber cuáles son los activos de los procesos, cuáles de estos son críticos, quienes son sus dueños[6], valorarlos para así tratarlos de acuerdo a su importancia para el proceso y para la empresa. Tener certeza que los activos de los procesos se están protegiendo de acuerdo a lo necesario, ¡ni un poco más ni un poco menos!. Creo que el objetivo llega a ser tan difuso para algunas organizaciones que se crean indicadores de gestión sobre la realización o no del inventario de activos y del análisis de riesgos por parte de los procesos, cuando lo que se debe medir es el nivel de seguridad (asociado también al nivel de inseguridad[7]) de los activos y sus procesos dueños.

Proceso de Gestión de Incidentes:
·         El no objetivo: Este es uno de mis favoritos (el segundo para ser precisos, ya les hablaré del primero)  ya que es uno de los que he encontrado los mayores problemas en la claridad del objetivo. El objetivo final no es tener un proceso documentando, incluso ni implementado. El objetivo no es llevar estadísticas de cuantos incidentes se presentaron en un lapso de tiempo, ni tener un comité de gestión de incidentes, ni hacer presentaciones a la gerencia o a los procesos dueños de los activos sobre los incidentes.  He conocido este tipo de procesos en los cuales toda la documentación es llevada de forma rigurosa, tanto del proceso, como de cada una de las actividades e incidentes sucedidos; muy bien por ellos, pero nuevamente a la pregunta: ¿Qué has hecho con esta información?, ¿se han implementado medidas para que estos incidentes no se vuelvan a presentar?, así esto me parece un saludo a la bandera.

·         El objetivo: detectar y contener los incidentes de seguridad; analizarlos y lo más importante: ¡tomar medidas para que los incidentes no vuelvan a ocurrir!, éste es el verdadero objetivo. Éste proceso es uno de los procesos principales para retroalimentar el modelo y demostrar que está funcionando; que pudieron existir errores, incidentes, pero se tomaron medidas para que no vuelvan a ocurrir. Respuestas como las siguientes no deben presentarse en un proceso de gestión de incidentes efectivo:

A: La red no estuvo disponible por cuatro días la semana anterior.
B: ¿Eso no sucedió también hace un mes?
A: Ahhh  ¡pero era un gusano diferente!
O tal vez,
A: Tuvimos hoy el ingreso de una persona no autorizada a las instalaciones por la puerta la principal”
B: Pero eso ya había sucedido.
A: nooooo, ¡el semestre pasado fue por la puerta número dos!

Proceso de Sensibilización de Seguridad de la Información:
·         El no objetivo: Capacitar o sensibilizar. En este instante muchos lectores dirán, este tipo está loco, ¿entonces qué es?, ¿hacer pan? Este es mi favorito número uno, porque esto lo veo no sólo en modelos de seguridad, sino en el diario vivir. Veo entes gastando (no invirtiendo) grandes sumas de dinero en campañas de sensibilización, y plantean su éxito con indicadores como: el cubrimiento: “hemos llegado a dos millones y medio de personas”; monto gastado: “esta administración invirtió tantos millones de pesos en campañas de sensibilización contra el…..”; recordación: “es una campaña que ha sido recordada por muchas generaciones” y a mi pregunta: ¿las personas cambiaron su comportamiento?, ¿quedaron realmente sensibilizadas?, otra mirada al cielo.

·         El objetivo: Evitar que los riesgos sobre los activos, que tienen vulnerabilidades relacionadas con los recursos humanos se materialicen. ¿Cómo se logra esto?,  logrando un cambio en el comportamiento de las personas, no sometiéndolas a capacitaciones y actividades de sensibilización interminables, he ahí el meollo del asunto. Hay que implementar acciones que garanticen un cambio en el comportamiento, y ésto es lo que hay que medir. A los niveles estratégicos de la empresa no le interesan el número de capacitaciones, ni la cantidad de personas en un proceso de sensibilización o el dinero gastado en ésto, lo importante es: si las personas se están comportando como queremos o necesitamos que se comporten respecto a la seguridad.


Lo anterior fue un pequeño resumen de algunas actividades de un modelo de seguridad como el de la norma ISO/IEC 27001 (y algunos más), que desarrollo para plantear mi punto de vista. Así considero que la falencia puede estar en que no tenemos claro el objetivo de estos modelos, y en muchas implementaciones se peca en darle la máxima importancia al aspecto documental, dejando a un lado el cumplimiento de los objetivos, entre estos el apoyo al negocio; perspectiva que debemos mejorar tanto implementadores como auditores.


[1] Esta misma impresión la he desarrollado con sistemas de gestión similares a la 27001:9001, 14001, 18001,  etc.
[2] Sin una estrategia clara y mucho menos orientada por el negocio.
[3] Continuidad del negocio vista desde la perspectiva de la seguridad de los procesos y sus activos.
[4] Esto puede sonar muy teórico pero es totalmente realizable; lo ampliaré en un artículo próximo.
[5] Entiéndase también como el core del negocio.
[6] Dueños de acuerdo a la norma ISO/IEC 27001.2005
[7] Concepto planteado en: Inseguridad informática: Un concepto dual en seguridad informática. Jeimy J. Cano. http://www.acis.org.co/fileadmin/inseg-inf.pdf