1

Vista previa del material en texto

Seguridad centrada en las personas: transformar la seguridad de su empresa
Cultura
por Lance Hayden
McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción.
Reimpreso para Carlos Gonzalez Aspajo, ISACA
gonascar@hotmail.com
Reproducido con permiso como beneficio de suscripción de Libros 24x7,
http://www.books24x7.com/
Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o
Se prohíben otras formas sin permiso por escrito.
Traducido del inglés al español - www.onlinedoctranslator.com
http://www.books24x7.com/
https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Capítulo 1: Seguridad de la información: aventuras en la piratería cultural
Tu no ' No tenemos que buscar en los canales de noticias sobre tecnología en busca de pruebas de que el mundo de la seguridad de la información se encuentra en un estado de 
crisis. Las filtraciones de datos están en todos los medios de comunicación. De enorme escala y aterradoras en sus implicaciones, los principales incidentes de seguridad parecen 
estar ocurriendo con alarmante regularidad. Cuando no son los piratas informáticos sospechosos los que perpetran el robo, nos preocupa que pueda ser un gobierno hostil 
preparándose para un nuevo tipo de guerra, o incluso nuestro propio gobierno abrazando una nueva era de posibilidades de vigilancia orwelliana. Y el mensaje que resuena desde 
las páginas de las revistas y sitios web de la industria de la seguridad de la información hasta los discursos de las conferencias de la industria y los folletos de marketing de los 
proveedores de productos y servicios es: InfoSec está roto de alguna manera - no lo hace ' Parece que ya funciona.
Quizás. La sociedad ha experimentado cambios profundos con la adopción generalizada de tecnologías de la información digitales en red. Algunos teóricos 
especulan que estos cambios son estructurales, y representan no solo nuevas características de la sociedad tradicional, sino nuevas definiciones de la sociedad 
misma. En esta mirada, estamos atravesando cambios como los que ocurrieron cuando los seres humanos dejaron de ser nómadas y establecieron la agricultura y 
las aldeas, o como las transformaciones que se dieron durante la Ilustración, o como consecuencia de la Revolución Industrial.
Esta evolución significa que todo el mundo, incluida la industria de la seguridad de la información, debe estar preparado para cambios distintos a todo lo que hemos visto. ' he 
experimentado previamente. La tecnología se ha vuelto social, centrada en las personas, y la seguridad de la información debe volverse igualmente centrada en las personas si 
espera tener éxito. No solo tenemos que hacer las cosas mejor, sino que tenemos que inventar formas completamente nuevas de hacerlas. Eso significa mirar cosas que 
tradicionalmente han hecho que los expertos en seguridad, especialmente los tecnólogos e ingenieros, se sientan incómodos. Cosas que son difíciles de medir o automatizar. Cosas 
como las personas, tanto sus creencias y suposiciones como su comportamiento. Cosas como la cultura.
Tocino quemado
Me di cuenta por primera vez del poder de la cultura en la seguridad de la información hace unos años en una conferencia de proveedores organizada por un cliente. Docenas de 
representantes de diferentes proveedores llenaron un gran salón de baile del hotel reservado por nuestro anfitrión. Después de que todos tomamos nuestros cafés y nos 
sentamos, el ejecutivo que dirigía el evento dio por terminada la reunión con una sesión informativa de seguridad. Nos presentó a nuestro oficial de seguridad, ' Lo llamo Bob, que 
también trabajaba para el cliente. Bob no era un ejecutivo ni siquiera un gerente. Pero antes de entregarle el micrófono a Bob, el ejecutivo dejó en claro que, en términos de 
nuestra seguridad física y protección, durante los próximos dos días Bob también podría ser el director general.
No esperaba la sesión informativa, pero no estaba ' Estoy muy sorprendido. La empresa que dirigía la conferencia operaba en varias industrias peligrosas y se 
enorgullecía de la " cultura de seguridad " inculcó en los empleados. Bob pasó unos cinco minutos repasando los protocolos de seguridad para el evento, señalando 
todas las salidas, diciéndonos cuáles deberíamos usar en caso de emergencia e incluso declarando un punto de reunión al otro lado de la calle. En caso de que 
sucediera algo que requiriera que saliéramos del edificio, todos debían reunirse en el punto de reunión para un recuento de personal antes de regresar o tomar 
cualquier otra acción que Bob considerara apropiada. Una vez que hubo terminado, Bob ocupó su puesto en la parte trasera del salón de baile y el día ' Se iniciaron las 
actividades.
I era sorprendido cuando volvimos del primer dia ' Después de la hora del almuerzo, el ejecutivo volvió a entregarle el micrófono a Bob para que repitiera la misma sesión 
informativa que habíamos escuchado sólo cuatro horas antes. " Guau, " Pensé. " Estas personas se toman la seguridad en serio. " Nunca antes había experimentado ese tipo de 
sesión informativa en nadie de mi propia empresa. ' s reuniones, mucho menos dos en el mismo día en el mismo evento!
La coincidencia es algo gracioso. Poco más de una hora después de nuestra sesión informativa posterior al almuerzo, la alarma de incendios del hotel comenzó a sonar. Por 
reflejo, todos se volvieron para mirar a Bob, quien inmediatamente salió de la habitación. En un minuto, la alarma se detuvo. Uno o dos minutos después, Bob regresó con uno de 
los gerentes del hotel, quien obviamente estaba tratando de explicar algo. Vi a Bob negar con la cabeza " no, " incitando al gerente a irse. Diez minutos más tarde, estaba de pie 
con mis compañeros representantes de proveedores al otro lado de la calle mientras Bob hacía un recuento.
Más tarde descubrimos que el gerente se había puesto en contacto con Bob para decirle que la alarma de incendio había sido activada por un pequeño incendio de 
grasa en la cocina, pero que había sido contenido y no representaba ningún peligro para nuestra reunión. Bob no había creído la explicación y había provocado una 
evacuación de todos modos. Fuimos los únicos que salimos del hotel después de la alarma, y captamos más de unas miradas curiosas de la gente que pasaba. Una vez 
que Bob estuvo satisfecho de que todos estaban presentes y que el hotel no estaba realmente en llamas, dio el visto bueno y volvimos a ocupar nuestros asientos en el 
salón de baile. A pesar de la naturaleza menor del incendio y del hecho de que la evacuación innecesaria nos había costado casi una hora de nuestra apretada agenda, 
el ejecutivo nunca dio una pizca de molestia. En cambio, nos llamó para que volviéramos al orden y pasó unos minutos alabando a Bob. ' s decisión y recordándonos 
que, para su empresa, la seguridad es lo más importante.
La segunda mañana de la conferencia consistió en sesiones de trabajo distribuidas en salas más pequeñas en todo el centro de conferencias del hotel, pero comenzaron solo 
después de que se completara nuestra sesión informativa de seguridad matutina. Hicimos una pausa nuevamente para almorzar, y cuando regresamos al salón de baile por la 
tarde, el ejecutivo nos estaba esperando. No estaba feliz. De pie frente a la sala, levantó uno de los paquetes de proveedores que cada uno de nosotros había recibido al principio. 
Sellado " Altamente confidencial " en cada página, los paquetes eran los planos de la empresa ' s estrategia de TI con visión de futuro, incluidos los diferenciadores competitivos 
estratégicos habilitados por la adopción de tecnología.
Agitando el paquete lentamente para que todos pudiéramos verlo, el ejecutivo nos regañó, describiendo cómo el documento que sostenía había sido descubierto en 
una de las salas de descanso vacías durante el almuerzo, dejado allí por alguien en la sala. Explicócon evidente irritación que un desprecio tan descarado por la 
protección de datos corporativos confidenciales era inaceptable, especialmente en una sala que incluía a muchos profesionales de seguridad de la información. Si volvía 
a suceder, nos advirtió, sería un infierno que pagar. Y con eso, comenzamos de nuevo, comenzando una vez más con nuestro informe de seguridad obligatorio.
Seguro y no seguro
Una característica importante de la cultura es que tiende a ser invisible y funciona justo debajo de nuestra conciencia consciente de su influencia. Pero eso a 
menudo cambia cuando nos encontramos con nuestras propias normas culturales desafiadas, y de repente vemos patrones y conflictos saltando desde las 
sombras. Tomemos, por ejemplo, el marcado contraste entre mi cliente ' s la seguridad cultura, donde la respuesta a la posibilidad de un incidente
Página 2/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
detuvo todos los negocios y activó planes de acción de emergencia, y el cliente ' s seguridad cultura, donde un incidente de seguridad real resultó en nada 
más que una conversación severa. Las dos respuestas completamente divergentes a esencialmente lo mismo, un incidente de falla, hicieron que las 
diferencias entre las culturas de seguridad y protección de mi cliente se destacaran entre sí como en blanco y negro. " Guau, " Pensé, " una de estas cosas no 
es como la otra. " Fue asombroso.
Mi cliente creía que tenía una sólida cultura de seguridad. También creían que tenían una sólida cultura de seguridad de la información. Pero la cultura se define por 
comportamientos, no por creencias. Los comportamientos completamente diferentes que exhibieron entre los dos incidentes mostraron dónde estaban realmente sus 
prioridades. Si el ejecutivo hubiera tratado la falta de protección de la información confidencial como Bob había tratado una loncha de tocino quemada, habríamos 
detenido el procedimiento de inmediato hasta que resolviera el problema. En lugar de ordenar una evacuación, habría ordenado a todos en la sala que sostuvieran sus 
paquetes de proveedores. Los documentos estaban controlados y al menos una persona no habría tenido uno.
¿Que estabas pensando?
Me encontré obsesionado con la experiencia durante el resto del día. Me distrajo de centrarme en las presentaciones y las sesiones interactivas. Estaba distante y 
desconectado. ¿Por qué el ejecutivo había dejado que ese incidente de seguridad se deslizara tan fácilmente? Había estado visiblemente enojado por eso, pero podría 
haber hecho mucho más que regañarnos. ¿Estaba preocupado por avergonzar a la gente? ¿La evacuación nos había desviado tanto del programa que solo estaba 
tratando de recuperar el tiempo perdido y no retrasar más el evento? Pensando que tal vez tenía la intención de hacer un seguimiento más tarde y tratar de rastrear al 
perpetrador de alguna otra manera, verifiqué identificadores únicos en mi paquete que podrían haberme rastreado directamente. No encontré nada por el estilo.
Por un tiempo, me deprimí. Había viajado un largo camino para asistir a una reunión que trataba sobre la importancia de la seguridad para esta empresa, solo para ver 
a un alto ejecutivo eclipsado por un empleado subalterno cuando se trataba de tomar medidas frente al riesgo. La respuesta al incidente de seguridad puso en tela de 
juicio todo el propósito de la conferencia. Si la empresa no ' Si iban a tomar medidas cuando se enfrentaran a una violación de seguridad que involucrara a uno de sus 
propios proveedores de seguridad de la información, ¿cómo iban a protegerse de los verdaderos malos? Todo sería productos de tecnología y palabrería. Ellos no ' No 
me importa lo suficiente como para hacer un cambio real. Me encontré pensando " Deberían poner a Bob a cargo de la seguridad de la información. "
Entonces me di cuenta de algo más. Consideré el daño físico real que sabía que esta compañía había visto como resultado de fallas en la seguridad en el lugar de trabajo. Las 
personas habían resultado heridas en el trabajo, incluso habían muerto, en las décadas que la empresa había estado trabajando en la industria. Sabía que la empresa también había 
experimentado brechas de seguridad de la información en el pasado, pero mi impresión era que estas fallas rara vez se habían elevado por encima del nivel de un inconveniente 
moderado. La gente tuvo un mal día, sin duda, pero al final todos se fueron a casa sanos y salvos. Si la cultura de la seguridad de la información no fue tan fuerte como la cultura de 
la seguridad, fue porque el mundo de la seguridad de la información simplemente no lo hizo. ' t sentir tan peligroso como el mundo de la seguridad en el lugar de trabajo. No 
importa lo que dijeran, esta empresa no podía pensar en la seguridad de los datos de la misma manera que pensaba en la seguridad física. Esas culturas podrían existir una al lado 
de la otra, pero las suposiciones y creencias que impulsan el comportamiento, nacidas de la experiencia y la observación, simplemente no eran las mismas. Estaba fascinado y, una 
vez más capaz de concentrarme en el cliente, hice la promesa mental de investigar más el tema.
Aqui estamos.
Piratería cultural
Este libro trata sobre la cultura. Se trata de entenderlo y transformarlo. Incluso puedes decirlo ' se trata de piratearlo. Y cuando digo
hackear, Me refiero a la piratería en un sentido de la vieja escuela, la piratería que Steven Levy describió en Hackers: héroes de la revolución informática.
Antes de que el término evolucionara (algunos podrían decir que se transformó) en hoy ' En un uso más familiar, con toda su negatividad implícita e inferencias criminales, la 
piratería describía un proceso de obtención de conocimiento sobre un sistema mediante su exploración y deconstrucción. Este conocimiento luego se utilizaría para hacer que ese 
sistema sea mejor, más innovador y elegante. Los piratas informáticos del MIT sobre los que escribió Levy se ocupaban de los programas informáticos, los programas y el código 
digital que definen cómo funcionan esos sistemas. Pero los sistemas, el código y la piratería no ' No te detengas ahí.
Software de la mente
Los investigadores y expertos en cultura organizacional hablan sobre su tema de una manera que no sería completamente desconocida para los ingenieros informáticos. Hay 
muchos marcos y metáforas para describir la cultura organizacional, pero todos convergen en la idea de que la cultura es un conjunto compartido de normas, valores y rutinas que 
sirve para definir cómo las personas se comportan juntas en entornos de grupos organizados. Si alguna vez ha comenzado un nuevo trabajo, probablemente haya experimentado 
un cambio cultural, ya que tuvo que aprender cómo se hacían las cosas en su nueva organización, y tal vez algunas de esas cosas le fueran completamente ajenas. Pero a medida 
que aprendiste las cosas, a medida que la cultura te fue transmitida y te convertiste en parte de ella, las cosas en las que tenías que pensar se convirtieron en comportamientos 
automáticos e inconscientes. Eso ' Es casi como si la organización lo programara para funcionar dentro de ella.
Geert Hofstede, uno de los académicos más influyentes en el campo, habla sobre la cultura organizacional precisamente de esta manera. Para Hofstede, la cultura es
" software de la mente " que permite a las personas alinear sus pensamientos, creencias y acciones para resolver problemas específicos. En ninguna parte Hofstede, ni ningún 
otro investigador cultural con el que estoy familiarizado, afirman que las personas son programables de la misma manera que las computadoras. Pero estos expertos ven a las 
organizaciones como sistemas complejos que comparten similitudes con las computadoras y las redes.
Mediante el uso de metáforas extraídas del software y la informática, podemos conceptualizar e identificar los medios para comprender cómose puede observar, 
medir y cambiar la cultura. Pensar en la cultura organizacional como un tipo diferente de software, con sus propios códigos y técnicas de programación, hace que la 
analogía del hackeo sea mucho más aplicable. De hecho, la industria de la seguridad ya usa la analogía todo el tiempo cuando habla de ingeniería social. La idea de 
piratear personas no es nueva ni muy controvertida en nuestra industria. Pero la ingeniería social siempre se ha centrado principalmente en los individuos, tratando a 
cada víctima potencial como un sistema independiente que debe ser explotado. Puede automatizar la ingeniería social, al igual que un atacante que realiza intentos de 
phishing masivos mediante el uso de herramientas automatizadas de correo electrónico grupal. pero esto solo permite al atacante apuntar a individuos de manera 
más rápida y eficiente. Eso ' Es simplemente una cuestión de escala.
Página 3/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
La cultura de la piratería es diferente a la piratería informática. Significa comprender y explorar las relaciones entre las personas, los impulsos y las motivaciones que 
hacen que muchos individuos únicos se comporten de manera muy similar, como grupo. En lugar de intentar afectar el comportamiento de personas individuales que 
toman decisiones específicas, un hacker cultural está más interesado en comprender y cambiar a todo el grupo. ' s comportamiento, cambiando lo que ese grupo 
piensa y cree. Parte del hackeo tiene que ver con la elegancia y la eficiencia, la capacidad de producir el mayor efecto con el menor esfuerzo. Si te enfocas en mis 
comportamientos individuales, tratando de cambiarlos uno a la vez, te perderás en una infinidad de entradas y salidas. Pero si eres capaz de comprender y cambiar mis 
creencias y suposiciones, habrás aprovechado la programación que impulsa todas mis decisiones.
Hackear a una persona ' Los sistemas de creencias pueden parecer un poco espeluznantes, y la piratería cultural ciertamente puede ser utilizada para el mal. Pero la piratería nunca 
se ha limitado a irrumpir en sistemas informáticos de forma ilegal o inmoral para obtener ganancias ilícitas. Ese ' Una definición estrecha que, lamentablemente, se ha convertido en 
el significado más asociado de la palabra, gracias a los medios de comunicación y, irónicamente, a la industria de la seguridad. Pero la piratería es mucho más que eso, con una 
historia más larga que la que la seguridad de la información ha tratado de imponerle. La piratería cultural es similar. Yo no ' Invente el concepto, y ' Ha existido durante mucho 
tiempo. Solo lo creo ' Es una forma muy útil de pensar en el desafío de la seguridad centrada en las personas.
Una breve historia de la piratería cultural
Las primeras personas que se autodenominaron hackers culturales procedían del mundo del activismo, la moda y el arte. Querían dar forma a la forma en que el mundo 
se veía a sí mismo, sacudir el status quo y tirar de las cortinas sobre la gente. ' s nociones preconcebidas. Para Mike Myatt, un autor y experto en liderazgo, la piratería 
en las organizaciones implica romper los códigos existentes y la complejidad, encontrar alternativas y reemplazar procesos obsoletos o ineficientes. Ese ' s piratería de la 
vieja escuela.
La piratería cultural es pre-digital, se remonta a prácticas como la interferencia de vallas publicitarias, literalmente cambiando los mensajes en vallas publicitarias en las 
carreteras del mundo real de anuncios a mensajes más irónicos o anti-corporativos. Estas técnicas se remontan a la década de 1970 y se desarrollaron en paralelo con el 
phreaking telefónico y el comienzo de la piratería informática. No fue ' t sobre el robo o desfiguración de la propiedad privada; se trataba de recuperar el control del sistema de 
aquellos que lo habían corrompido, para liberarlo nuevamente. Este fue el ' 70, recuerda.
Aunque comenzó impulsado por el poder de las flores, la piratería cultural ha demostrado ser notablemente resistente. A medida que el mundo cambiaba, también cambiaba el 
enfoque del movimiento. La piratería cultural y la tecnología se fusionaron con la creación de grupos como la Adbusters Media Foundation, que utiliza y critica las tecnologías 
digitales. En 2011, Adbusters fue fundamental en la creación del movimiento Occupy Wall Street. A lo largo de su historia, la misión de los hackers culturales fue remodelar el 
comportamiento apuntando a la programación social básica, generalmente con un sesgo antiautoritario y anticorporativo, al igual que muchos de los primeros piratas informáticos.
Ya sea que asimile o no todo el tema anti-establecimiento, la piratería (computadoras o culturas) es un conjunto de técnicas y herramientas para explorar y deconstruir 
sistemas complejos con el propósito expreso de cambiarlos, hacer que funcionen de manera diferente, evolucionarlos. Dependiendo del lado de la valla en el que se 
encuentre, esto puede ser un proceso de innovación o un proceso de manipulación y abuso. Pero, de nuevo, puedes decir eso de casi cualquier herramienta. Un 
martillo puede convertirse fácilmente en un arma desagradable.
Cultura de seguridad: piratear o ser pirateado
Creo que la cultura es el recurso desaprovechado más importante para mejorar la seguridad de la información en la actualidad. La seguridad no es un desafío 
tecnológico. Si lo fuera, la tecnología habría solucionado los problemas hace mucho tiempo. La seguridad es un desafío para las personas, un desafío social y 
organizacional. Eso ' un desafío cultural.
Las personas, y cómo lidiar con ellas, parecen desconcertar especialmente a los profesionales de la seguridad de la información, hasta el punto en que tenemos 
problemas incluso para hablar de los seres humanos que componen nuestras organizaciones como algo más que problemas que tratar, amenazas internas que 
identificar. y gestionados, o los riesgos a mitigar, preferiblemente automatizándolos. Cuando pensamos en las personas, tendemos a pensar en ellas como objetivos de 
ataque o accidentes que esperan suceder. Debido a que la industria está inmersa en un trasfondo de ingeniería y tecnología aplicada, podemos ser profundamente 
ambivalentes sobre lo cualitativo, lo emocional o lo político. - en otras palabras, todas las cosas que conforman las culturas organizacionales en las que debe operar la 
seguridad de la información. Dada la industria ' s la desconfianza de la gente en general, ' No es muy sorprendente que la idea de la seguridad centrada en las personas 
haya tardado un tiempo en ganar terreno.
La industria está cambiando y se está volviendo más consciente de la importancia de las personas para la protección exitosa de los activos de información y las cadenas de 
suministro de información en toda la economía digital global. Nosotros ' No estamos cambiando porque de repente hemos visto la luz y hemos desarrollado una nueva apreciación 
de las caóticas e irracionales redes humanas que debemos asegurar. Nosotros ' estamos cambiando, al menos en parte, porque ' he intentado todo lo demás, es ' todavía no 
funciona, y nosotros ' estás desesperado. Y eso ' está bien. Sentado en mi conferencia de proveedores, tuve la epifanía de que mis anfitriones no ' t tomen en serio la seguridad de 
la información porque nunca habían experimentado problemas realmente serios relacionados con ella, ciertamente no como lo habían hecho con accidentes y pérdidas físicas. 
Estaba seguro de que tan pronto como experimentaran un evento catastrófico de seguridad de la información, atacarían el problema con el mismo compromiso y celo que habían 
creado su impresionante y formidable cultura de seguridad. Hoy dia ' El entorno de seguridad de la información está cambiando drásticamente. Hoy, o hackeas tu propia cultura o 
esperas a que alguien lo haga por ti (o por ti).
OMS ' s ¿Hackear su cultura de seguridad?Piense por un momento en los piratas informáticos culturales en su propio programa de seguridad. Puede que no sean evidentes de inmediato. Su primer pensamiento podría ser 
el equipo de concienciación sobre seguridad, si su organización tiene uno. Estas almas valientes son actualmente la punta de lanza cuando se trata de la transformación de la 
cultura de la seguridad, aunque veremos en capítulos posteriores que el desafío al que se enfrentan es a menudo imposiblemente idealista. Pero si está buscando a esas personas 
que tocan el tambor del comportamiento y tratan de cambiar la forma en que toda la empresa piensa sobre la seguridad, los equipos de concientización son lo más importante.
Los gerentes de conciencia de seguridad probablemente no son los únicos que diseñan socialmente su organización ' s creencias y prácticas de seguridad. Piense en sus auditores, 
por ejemplo. Las auditorías, particularmente aquellas para estándares regulatorios o de la industria como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI 
DSS) o Sarbanes-Oxley, tienen un efecto material en una empresa. ' s capacidad para hacer negocios. Los equipos de auditoría interna y cumplimiento
Página 4/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
responsable de asegurarse de que la empresa no ' No fallan en las auditorías y hacen todo lo posible por transmitir e inculcar ciertas creencias y rituales en la empresa 
más grande. Es poco probable que una cultura de auditoría sólida crea, por ejemplo, que los procesos documentados son innecesarios o que todos los empleados 
deben tener acceso completo a todos los sistemas para mantenerse ágiles. Dada la importancia de mantener el cumplimiento, los auditores también suelen tener el 
poder de reprogramar la organización. ' s enfoque y actividades, aunque solo sea temporalmente.
Finalmente, piense en el gerente de proyecto o gerente de línea que no tiene responsabilidad directa por la seguridad, pero que puede recompensar o castigar a sus empleados en 
función de su desempeño laboral, a través de promociones y aumentos salariales, o incluso despidiendo a trabajadores deficientes. Toda organización tiene prioridades y estas no 
siempre se alinean. De hecho, pueden competir directamente, una situación que a menudo vemos en la seguridad de la información como una especie de Rubik. ' s Efecto cubo, en 
el que mejorar una parte del problema empeora otra parte.
Imagine a nuestro gerente de proyectos dirigiendo un equipo de desarrollo de software trabajando en un nuevo producto. Llevar el proyecto a tiempo y dentro del 
presupuesto es una de las principales prioridades de la empresa. También lo es asegurarse de que el producto no tenga vulnerabilidades de seguridad. ¿Qué sucede 
cuando no hay tiempo suficiente para hacer ambas cosas? Por ejemplo, supongamos que un desarrollador se da cuenta de que tiene siete días para terminar su trabajo 
antes de la fecha límite, pero que una revisión de seguridad completa tardará diez días. Podría ir a su gerente y decirle que completará la revisión, porque la seguridad 
es una prioridad, pero que el proyecto llegará tarde al mercado. Su gerente ' La respuesta será clave. Ya sea que la elogie, como Bob recibió cuando puso la seguridad 
en primer lugar y fue evacuado por un incidente menor, o la castigó con la pérdida de una bonificación o tal vez incluso su trabajo por retrasar el proyecto, mostrará a 
todos lo que la empresa valora más. Cuando esa elección vuelva a surgir, todos sabrán qué hacer.
Ahora imagine que es el gerente de concienciación sobre seguridad de esta empresa de ejemplo u otro miembro del equipo de seguridad. Si el sesgo cultural es hacia los plazos, 
¿cómo pueden competir sus valores? La conciencia de seguridad de repente se vuelve más compleja que simplemente asegurarse de que todos los desarrolladores conozcan las 
políticas sobre codificación y pruebas seguras. Nuestra desarrolladora ya era consciente de su responsabilidad por la seguridad. Pero si la gerencia recompensa y castiga según los 
plazos del proyecto, los presupuestos o algún otro factor, ninguna cantidad de comentarios, sesiones de capacitación o carteles en la pared cambiará a un desarrollador. ' s 
comprensión empírica de que la seguridad viene en segundo lugar. Ese ' s ingeniería cultural.
Seguridad, piratea a ti mismo
Tu no ' No es necesario tener un título universitario en psicología organizacional para convertirse en un hacker cultural, como tampoco se necesita uno en ciencias de 
la computación para convertirse en un hacker tecnológico. Lo que sí necesita es una nueva forma de ver su entorno organizacional y las personas que lo integran, lo 
que requiere imaginación y voluntad de experimentar. Los hackers de tecnología don ' No permita que otros les digan lo que el sistema puede o no puede hacer, sino 
que lo averigüen por sí mismos explorando el sistema. Si quieres hackear la cultura, tienes que aprender cómo funciona realmente la cultura, no solo lo que todos 
piensan o esperan de ella.
Lo más cerca que se acerca este libro a un manifiesto - y un primer principio con el que cualquier persona que busque transformar su cultura de seguridad debe 
sentirse cómodo - se refiere al papel de las personas en la seguridad de la información. En un programa de seguridad centrado en las personas, los seres humanos 
importan tanto como la tecnología, y probablemente bastante más. La tecnología permite a las personas, no al revés. La tecnología no se preocupa ni sufre si es 
pirateada o comprometida, al menos no todavía. Si esta noche arrojara por la ventana todos los activos de TI que posee su empresa, mañana por la mañana, cuando 
todos se presenten a trabajar, todavía tendría una organización. Echa a toda la gente, por otro lado, y mañana tendrás un almacén lleno de cosas sin que nadie se 
preocupe por si es o no. ' s seguro.
Los sistemas informáticos son inmensamente complicados, están diseñados y construidos a partir de hardware y software, gobernados por arquitecturas extraordinariamente 
intrincadas y millones de líneas de código programático. Por todo eso, las computadoras tienen límites finitos para sus capacidades. Las personas definen lo que las computadoras 
pueden hacer y hacen solo lo que han sido programadas para hacer, incluso en situaciones en las que esas posibilidades no son las que los programadores esperaban o pretendían. 
Siempre hay razones claras para una computadora ' s comportamiento, al menos una vez que haya rastreado esas razones hasta las causas raíz. Pero la complejidad es diferente. Los 
sistemas complejos producen comportamientos emergentes, una posibilidad infinita de resultados que es imposible de predecir. Esos comportamientos pueden no ser consistentes 
o incluso racionales. Las personas y los sistemas sociales son complejos en formas que una computadora nunca puede ser por sí sola. Pero conectar una computadora a un sistema 
social como una empresa o un gobierno crea nuevas vías para la complejidad y el comportamiento emergente. La seguridad centrada en las personas reconoce que centrarse 
únicamente en los sistemas tecnológicos siempre será una batalla perdida porque la seguridad centrada en la tecnología es invariablemente superada por el comportamiento 
humano emergente. En el momento en que piensas que ' Al cubrir todos los ángulos, alguien descubrirá cómo cuadrar un círculo y producir cuatro ángulos nuevos donde no existía 
ninguno anteriormente.
Hackear su cultura de seguridad, en lugar de hackear su infraestructura de TI, significa investigar las fuerzas que motivan a las personas. ' s comportamientos 
relacionados con la seguridad dentro de su organización. Tienes que analizar no solo lo que hacen tus sistemas, sino lo que la gente está haciendo con ellos, cómo los 
están adaptando a propósitos nuevos e innovadores. Algunos de estos nuevos usos generarán riesgos,pero también oportunidades. La cultura define la interfaz entre 
usuarios y sistemas. Si quieres transformar tu organización ' En la cultura de seguridad, para que sea mejor y más eficiente en la protección de los activos de la 
organización, debe separar el sistema de personas, así como los sistemas de procesos y tecnología, de modo que los conozca a todos por dentro y por fuera. Es n ' Es 
suficiente con observar lo que la gente hace o hace con la tecnología a su disposición. Debe comprender por qué lo hacen y tratar de considerar todas las posibles 
decisiones alternativas que podrían haber tomado, en lugar de solo la que puede parecer obvia o esperada.
En los años transcurridos desde que me senté en la sala de conferencias de ese hotel y me di cuenta de las diferencias entre una cultura de seguridad y una cultura 
de seguridad, he observado docenas de otras organizaciones. ' Culturas InfoSec. Todos han tenido algo que enseñarme. Incluso cuando no puedo lograr que un 
cliente piense en la cultura tanto como me gustaría, siempre logran que yo piense en ella. Y puedo decirles que la piratería cultural en el espacio de la seguridad es 
una empresa entusiasta, independientemente de si la organización es consciente de que lo están haciendo.
Trucos culturales: lo bueno
Eso ' Siempre es bueno trabajar con una organización que se toma la cultura en serio, sin descartarla por ser demasiado vaga o hablar de labios para afuera sobre su 
importancia, pero nunca tratando de cambiarla. I ' Incluso me he encontrado con algunas organizaciones que adoptaron plenamente la transformación cultural de la 
seguridad de la información, con todo el desorden e incertidumbre que conlleva ese tipo de trabajo. En el caso de una organización en particular, había venido para 
ayudarlos a definir un nuevo marco de seguridad empresarial, un programa de gobierno que uniría todos los silos y focos de propiedad de seguridad dispares y a 
veces disfuncionales que habían crecido orgánicamente a lo largo de la vida de la empresa. Mientras caminábamos
Página 5/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
a través de las diversas opciones para diseñar el nuevo programa, el equipo de seguridad siguió tratando de articular lo que realmente estaban tratando de lograr. 
Tenían necesidades y requisitos que abarcaban personas, procesos y tecnología, y nuestras conversaciones a menudo se volvían específicas y detalladas sobre uno o 
más resultados deseados, pero nada parecía dar en el blanco por completo. " Sí, " ellos dirian, " lo necesitamos. Pero necesitamos mucho más. "
La organización estaba intrigada por ISO 27001, el estándar internacional para la gestión de programas de seguridad, y me hizo muchas preguntas sobre lo que 
pensaba de él. Les dije que pensaba muy bien en ISO 27001. Cuando se implementa de manera adecuada y concienzuda, ISO 27001 puede funcionar como un marco 
de gobierno muy poderoso, uno que también creo que es el estándar de seguridad más centrado en las personas que existe en la actualidad. Se lo dije a mi cliente.
" Pero ISO no es ' t para todos, " Advertí. " Eso ' no se trata de tecnología o incluso de controles. El estándar consiste en cambiar lo que piensa y cree toda su 
organización en lo que respecta a la seguridad de la información. Para mí, implementar ISO se trata de impulsar un proceso de transformación cultural con 
respecto a la seguridad en toda la empresa. "
Los miembros del equipo ' los ojos se iluminaron. ¡Eureka! Eso era exactamente lo que habían estado luchando por articular. Ellos no ' No solo querían un nuevo 
programa de seguridad, querían una cultura de seguridad completamente nueva. " Nosotros no ' solo quiero cambiar la mecánica, " ellos explicaron, " o cambiar un 
conjunto de controles o un marco de mejores prácticas por otro. Queremos cambiar lo que significa la seguridad para la empresa y queremos cambiarlo para cada 
persona que trabaja aquí, independientemente de su rango o función. " Amén, pensé.
Ese ' un buen truco cultural, o al menos el comienzo de uno. El equipo de seguridad quería cambiar el comportamiento, pero reconoció que el 
comportamiento surgió de algo más profundo. Ahí era donde querían concentrar sus esfuerzos. Ayudó que la empresa ya era una cultura consciente de sí 
misma. La idea de identidad social y creencias compartidas impregnaba su negocio. El equipo de seguridad ya tenía una plantilla y un lenguaje que les 
eran familiares. Creer en el poder de la cultura en general hace que sea mucho más fácil ver los beneficios de mejorar la cultura de seguridad en particular.
Trucos culturales: lo malo
No todas las organizaciones piensan en términos de transformar su programa o cultura de seguridad de la información. Algunos equipos de seguridad están tan abrumados con el 
simple hecho de estar al tanto de las actividades operativas y los plazos que pensar por qué hacen las cosas de la forma en que lo hacen, o si podrían hacerlo mejor, parece un lujo. 
Eso ' Es difícil pensar en un plan de mejora de cinco años cuando los auditores vengan la próxima semana. De hecho, el cumplimiento impulsa tanta actividad de seguridad hoy en 
día que ' s probablemente la principal motivación que tienen las empresas para tomarse la seguridad tan en serio como lo hacen. ISO 27001 es un estándar de seguridad 
voluntario, pero la mayoría de las empresas se ocupan del tipo no voluntario. PCI DSS para procesadores de tarjetas de crédito, requisitos de control interno Sarbanes-Oxley para 
empresas que cotizan en bolsa, regulaciones HIPAA en el cuidado de la salud, junto con una gran cantidad de otros regímenes regulatorios locales, nacionales y transnacionales 
pueden poner demandas constantes en la atención del Director de Seguridad de la Información (CISO).
Los esfuerzos de cumplimiento de seguridad son un intento de piratear la cultura a sí mismos. Los reguladores y los grupos industriales desarrollan requisitos de cumplimiento 
como un medio para obligar a las organizaciones a tomarse la seguridad más en serio. Esto es genial en la medida en que mejora el producto final. Pero cuando el cumplimiento 
reemplaza la seguridad como objetivo, la transformación cultural fracasa. Eso ' Es como la vieja advertencia zen de no confundir el dedo que apunta a la luna con la luna misma. El 
cumplimiento no es lo mismo que la seguridad, como lo han dejado dolorosamente claro los recientes incidentes de seguridad en los que los auditores habían firmado previamente 
los mismos sistemas que terminaron siendo comprometidos.
I ' He observado más de una organización donde la cultura de seguridad ha sido entrenada y condicionada por programas de cumplimiento para equiparar auditorías 
exitosas con buena seguridad. Incluso cuando ciertas personas dentro de la organización saben mejor - y a menudo estas son las personas de operaciones de 
seguridad, que saben cómo se hace la salchicha, por así decirlo. - la suposición compartida es que si los auditores están contentos, la organización debe estar segura. 
Eso también es una forma de transformación cultural, pero no una buena.
Los trucos culturales son malos cuando facilitan el sistema, pero no ' En realidad, resuelvo el problema. El conocimiento del sistema es parcial o incompleto, lo que hace que un 
hacker cultural sienta que ha logrado algo más de lo que realmente ha logrado. Para extender la metáfora, aquellos que ponen total fe en una lista de verificación de cumplimiento 
de talla única para todos son como niños con guiones culturales, interesados más en resultados rápidos que en cambios profundos y duraderos.
Trucos culturales: lo feo
Incluso cuando los esfuerzos de cambio cultural no son sofisticados o están incompletos, las personas que intentan cambiar las cosas suelen tener buenas intenciones. La mayoría 
de los equipos de seguridad sienten pasión por lo que hacen y están profundamente preocupados porhacer que sus sistemas sean más seguros y fuertes. Pero siempre habrá 
valores atípicos, individuos y organizaciones cuyos comportamientos de seguridad son tan atroces que casi tienes que pensar que quieren fallar.
Una vez visité una organización donde los miembros del equipo de administración de seguridad eran algunos de los idiotas más arrogantes que había conocido. A pesar de que 
me habían contratado para ayudarlos, menospreciaron y cuestionaron todo lo que yo o mi equipo dijimos. Cuando les preguntamos si tenían un control o proceso en particular, 
ponían los ojos en blanco. " Por supuesto que tenemos eso, " fue la respuesta. " Ese ' s seguridad 101. ¿Es eso todo lo que los consultores inteligentes pueden preguntarnos? "
En la organización ' s defensa, tenía un formidable conjunto de controles en su lugar. Una gran cantidad de datos altamente confidenciales pasaron a través de sus sistemas, y el 
equipo de seguridad de la información hizo que fuera difícil compartir los datos dentro de esos sistemas sin pasar por obstáculos administrativos. " Cerramos fuertemente a nuestra 
gente " los líderes superiores se jactaban ante nosotros. " Nadie se mete en ningún asunto divertido. "
Cuando pasamos del liderazgo y comenzamos a entrevistar a los empleados que estaban más abajo en el organigrama, preguntamos sobre los intensos niveles de 
control que la organización había implementado. Muchos de los sujetos de nuestras entrevistas sonrieron ante las preguntas y luego nos contaron historias de lo 
doloroso que era compartir información de manera eficiente.
" Esos tipos mayores con los que hablaste " un empleado nos dijo, " todos tienen cuentas personales de correo web ' he configurado. Cuando quieren compartir cosas
Página 6/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
rápidamente, simplemente pasan por alto los controles y adjuntan cosas a sus correos electrónicos personales y las comparten. "
Nos quedamos impactados. " Pero dijeron que ustedes no podían ' no hagas nada como eso, " protestamos.
" Oh, por supuesto. Podemos ' t. Ellos don ' Confíe en nosotros, y piensan que todo el que no es gerente es un idiota. Pero ' no es un problema para ellos. Ese ' es la forma en que 
funcionan las cosas aquí. "
¡La seguridad es gente!
Este libro trata sobre brindar a las organizaciones y a las personas responsables de asegurarles un nuevo conjunto de conceptos y técnicas. I ' No estoy tratando de reemplazar la 
tecnología o los procesos como herramientas efectivas que se necesitan en la seguridad de la información. Pero estoy tratando de dar a las personas, la tercera pata a menudo 
descuidada de la tríada personas-proceso-tecnología, el lugar que les corresponde. La seguridad centrada en las personas significa considerar el elemento humano de la protección 
de datos como algo más que un vector de amenaza más. La seguridad centrada en las personas implica que sin personas no hay seguridad ni necesidad de ella. Los procesos y la 
tecnología están ahí para apoyar a las personas, tanto desde una perspectiva de seguridad como para toda la organización. Nadie comienza con la seguridad, pero no hay 
información que proteger. Las necesidades de seguridad nacen cuando una organización ' La cadena de suministro de información comienza a producir activos valiosos que exigen 
protección. Las personas definen cuándo ocurre eso, las personas hacen posible la protección y las personas son responsables cuando falla la seguridad.
La cultura actúa como un poderoso motor de seguridad organizacional, y en los capítulos siguientes me ' Entraremos en muchos detalles sobre qué es la cultura y cómo impulsa el 
comportamiento humano. Pero la premisa central de todo lo que sigue es la siguiente: si realmente desea cambiar la forma en que funciona la seguridad, debe cambiar la cultura 
que opera debajo de ella. El hecho de que la seguridad haya luchado con la ecuación humana en el pasado no ' No significa que debe seguir desconcertándonos en el futuro. De 
hecho, puede ' t. Nuestro mundo es social y nuestras tecnologías son cada vez más sociales. Nuestra seguridad también debe ser social, a pesar de los juegos de palabras de la 
jubilación. Entonces, centrado en las personas. ¡La seguridad es la gente!
Otras lecturas
norte Adbusters: Revista del entorno mental. Disponible en www.adbusters.org .
norte Hofstede, Geert, Gert Jan Hofstede y Michael Minkov. Culturas y organizaciones: software de la mente. 3ª ed. Nueva York: McGraw-
Hill, 2010.
norte Levy, Steven. Hackers: héroes de la revolución informática. Edición 25 Aniversario. Sebastopol, CA: O ' Reilly, 2010.
norte Myatt, Michael. Hackear el liderazgo: las 11 brechas que toda empresa debe cerrar y los secretos para cerrarlas rápidamente.
Hoboken, Nueva Jersey: Wiley, 2013.
Página 7/7
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://www.adbusters.org/
	Chapter 1: Information Security: Adventures in Culture Hacking
	Burnt Bacon
	Culture Hacking
	Who’s Hacking Your Security Culture?
	Security, Hack Thyself
	Security Is People!
	Further Reading