Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Seguridad centrada en las personas: transformar la seguridad de su empresa Cultura por Lance Hayden McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción. Reimpreso para Carlos Gonzalez Aspajo, ISACA gonascar@hotmail.com Reproducido con permiso como beneficio de suscripción de Libros 24x7, http://www.books24x7.com/ Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o Se prohíben otras formas sin permiso por escrito. Traducido del inglés al español - www.onlinedoctranslator.com http://www.books24x7.com/ https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution PeopleCentric Security: Transformando su cultura de seguridad empresarial Capítulo 4: Amenazas y riesgos culturales Habiendo cubierto el terreno de los tres capítulos anteriores, ' Nos quedan muchas evidencias circunstanciales sobre la relación entre la seguridad de la información y la cultura organizacional. Pero, ¿dónde llega la goma a la carretera? ¿Dónde está la interfaz empírica y tangible entre cultura y seguridad que nos permite imaginar, observar y diseñar en torno a los desafíos y oportunidades de nuestras propias culturas de seguridad? Modelado de amenazas culturales En los últimos años, la industria de la seguridad se ha interesado en los enfoques de seguridad centrados en amenazas, que intentan abordar a los actores responsables de los incidentes de seguridad en lugar de centrarse en las debilidades que dichos actores podrían explotar (enfoque centrado en la vulnerabilidad) o las cosas que quieren hacer. ataque (enfoque centrado en activos). Con este fin, se demandan metodologías para modelar amenazas a la seguridad. El reciente éxito de Adam Shostack ' s Modelado de amenazas: diseño para la seguridad, incluyendo ser nominado como uno de los mejores libros de seguridad para 2014, demuestra el interés popular dentro de la comunidad de seguridad. Modelado de amenazas está predominantemente centrado en la tecnología, pero Adam se esfuerza por explorar los factores humanos, un tema que también enfatizó en su libro anterior, La nueva escuela de seguridad de la información. Obviamente interesado en los modelos sociales y de comportamiento y su aplicabilidad a la industria de la seguridad, Adam cataloga y describe varias teorías, aplicándolas a un alto nivel en nuestro campo. Y reconoce y articula explícitamente la necesidad de modelos mejorados para describir mejor cómo las personas " hacer " seguridad, así como el valor de incorporar a nuestros esfuerzos otras tradiciones de investigación como la sociología, la antropología y la psicología. Modelado de amenazas nunca se aplica directamente a las personas la metodología STRIDE que Adam ayudó a crear, pero el libro sirve como un respaldo tentador de técnicas de modelado de amenazas más culturales para complementar los modelos centrados en la tecnología y los actores de los que depende la industria hoy en día. Hoy dia ' Las técnicas de modelado de amenazas suponen más o menos un sistema de información limitado o un activo que de alguna manera se enfrenta a un ataque u otro compromiso. Esto se presta muy bien a un producto o sistema específico, pero el modelado de amenazas se rompe si intenta aplicarlo a algo menos circunscrito, como los comportamientos humanos o los sistemas sociales. Desafortunadamente, los responsables de la seguridad no ' Vivo en un mundo donde la única preocupación es un sistema tecnológico. En la compleja red de relaciones del mundo real, los sistemas tecnológicos interactúan, influyen y son moldeados por otros actores y eventos, incluidas las personas, las fuerzas de la naturaleza y otros sistemas complejos. Los comportamientos emergentes resultantes hacen que el establecimiento de límites alrededor de cualquier elemento particular del sistema sea artificial en el mejor de los casos, aunque asumir tales límites arbitrarios se vuelve algo obligatorio para romper y analizar desafíos que de otro modo desafiarían el análisis. Aplicado a los modelos de amenazas, esto solo significa que tenemos que sentirnos cómodos reemplazando el hardware, el software y las redes con límites más abstractos como la persona, el grupo social y la organización, algo en lo que los científicos sociales son expertos. Procesos encubiertos y riesgo cultural Modelado de amenazas a la seguridad que involucran a una organización ' La cultura realmente no es tan diferente de modelar las amenazas a la seguridad que involucran software o hardware. En el centro hay un ejercicio básico para exponer lo no obvio, hacerlo observable y tangible de una manera que pueda analizarse adecuadamente para gestionar o mitigar la amenaza de manera adecuada. Las diferencias son menos conceptuales que operativas. No todas las aplicaciones de software se modelarán de la misma manera, y las amenazas de hardware y software pueden ser muy diferentes desde la perspectiva del modelado de amenazas. Modelar las amenazas culturales es solo una variación más de este tema. Habrá diferentes fuentes de amenazas, diferentes formas de describirlas y diferentes enfoques para manejarlas. Dado que el modelado de amenazas tradicional consiste en hacer visible la relación oculta entre los responsables de las fallas de seguridad y los medios por los cuales falla la seguridad, podemos intentar replicar ese enfoque para la cultura. Resulta que hay investigaciones disponibles en esta área. Procesos encubiertos, un concepto desarrollado por primera vez por el estudioso del desarrollo organizacional Bob Marshak, son fuerzas y dinámicas organizacionales que están ocultas pero ejercen efectos poderosos en nuestras comunicaciones y esfuerzos para lograr metas. Experimentamos los procesos encubiertos como agendas ocultas, reglas tácitas o tabúes organizacionales. Muchos de los ejemplos que ' Lo que hemos dado hasta ahora en este libro son evidencia de procesos encubiertos que funcionan dentro de una organización. También están en el corazón del riesgo cultural desde una perspectiva de seguridad. Los procesos encubiertos y los comportamientos que crean son difíciles de reconocer y abordar porque generalmente están camuflados por apelaciones a un proceso mucho más abierto, la lógica racional. Volviendo a la metáfora del iceberg de la cultura y el comportamiento, la toma de decisiones supuestamente lógica y objetiva es uno de los aspectos más visibles de la actividad organizacional. Hacemos planes y desarrollamos estrategias para la actividad basados en nuestros análisis de lo que creemos que se debe lograr para el éxito organizacional. Este es, posiblemente, el trabajo principal de los gerentes y líderes en una empresa. Debaten los requisitos y los resultados deseados, trazan el mejor camino racional para llegar allí y establecen las condiciones mediante las cuales la organización ejecutará su estrategia. Los líderes organizacionales, habiendo emprendido una deliberación lógica y racional para desarrollar la mejor estrategia, tienden a esperar que todos los demás en la organización acepten sus planes. No hacerlo sería irracional; literalmente no tendría sentido. Y lo que no tiene sentido lógico no tiene cabida en la gestión de la organización. Después de todo, ¿cómo puedes responder a alguien que no está siendo razonable? Pero la racionalidad es solo una dinámica organizacional, al igual que la razón coexiste en los individuos junto con factores físicos, emocionales y psicológicos que pueden dominar y dominan nuestra razón todo el tiempo. Al ignorar todo menos la lógica, las organizaciones a menudo se niegan a sí mismas la información que necesitarían para comprender por qué falló una estrategia. Inspirado por Adam Shostack ' s trabajo, y basándose en la literatura sobre procesos encubiertos, me ' Desarrollé un modelo de amenazas simplificado para la cultura de seguridad. Como nos encantan los acrónimos y los mnemónicos en seguridad, y la literatura de modelado de amenazastiene su parte justa en métodos como STRIDE, DREAD y OCTAVE, decidí continuar con la tradición y busqué un buen mnemónico. Los dioses acrónimos me sonrieron. Las personas están en el centro de las amenazas culturales, tanto como actores como objetivos. Y las amenazas políticas, emocionales, psicológicas y logísticas a menudo son centrales encubiertas. Página 2/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial procesos que crean riesgos dentro de una organización. Así nació mi modelo de amenaza cultural, PEPL. Conociendo PEPL Las amenazas de PEPL afectan los resultados de seguridad deseados en lugar de los sistemas delimitados. Estos resultados de seguridad son deseables debido a una deliberación lógica y racional por parte de la organización que los definió como la forma en que deberían funcionar las cosas. Un resultado casi siempre será una combinación de personas, procesos y tecnología, y pueden existir amenazas para algunos o todos estos elementos. Buenos ejemplos de resultados serían traer un producto de software al mercado que no tenga fallas de seguridad ocultas, o una organización que no se vea afectada por una violación masiva de datos debido a un sistema comprometido. Como en el modelado tradicional de amenazas a la seguridad, la amenaza se basa en alguna vulnerabilidad en el sistema, aunque prefiero referirme a ellas como " debilidades " para evitar confusiones con vulnerabilidades técnicas. Tabla 4-1 describe y define la amenaza PEPL específica junto con el objetivo probable de la amenaza y ejemplos de debilidades culturales específicas y sus efectos en los resultados de seguridad. Por supuesto, el efecto final es una falla de seguridad que conduce a un incidente, a menudo provocado por la incapacidad de lograr el resultado deseado. Tabla 4-1: Modelo de amenaza PEPL Al igual que otros marcos de modelado de amenazas, PEPL es principalmente una herramienta de lluvia de ideas. Puede generar un gran conjunto de problemas potenciales para los resultados de seguridad que su organización espera lograr, mucho más grande incluso que un modelo tradicional que se centra en un sistema acotado. Si bien es fácil aplicar PEPL a esos mismos sistemas delimitados (aplicaciones de software, sistemas de hardware, incluso un departamento o función), a menudo las amenazas resultantes serán funciones de la organización en su conjunto. La cultura que termina por definir el uso de un sistema de personas, procesos o tecnología es la cultura de todos los que dependen de él, sean o no miembros inmediatos de los equipos de seguridad de la información. Amenazas políticas Las amenazas políticas ocurren cuando los intereses y las agendas chocan dentro de una organización de una manera que daña la efectividad organizacional. La política está en todas partes en los negocios, y las rivalidades políticas, las alianzas y los conflictos entre individuos y grupos son tan comunes que los damos por sentados incluso cuando nos quejamos de sus efectos. Lo que hace que la política sea un proceso encubierto no es nuestra falta de conciencia de que existen comportamientos políticos, sino nuestra renuencia a admitir hasta qué punto juegan un papel en nuestras decisiones comerciales. Los políticos profesionales, por supuesto, tienen menos problemas para admitir maniobras políticas abiertas, pero los empleados y gerentes que se comportan de esta manera pueden verse acusados de manipulación o manipulación. " jugando a la política " en lugar de anteponer las necesidades de la empresa. Las ambiciones y motivaciones políticas individuales a menudo se consideran poco profesionales e incompatibles con las buenas prácticas de gobernanza. Se supone que las partes interesadas del negocio deben planificar y establecer la estrategia de manera racional, sobre la base de evidencia objetiva, no por ambiciones o rivalidades personales. El resultado es a menudo una situación en la que las dimensiones políticas de una actividad de planificación o decisión no se admiten o se camuflan dentro de racionalizaciones que son más aceptables profesionalmente. Esto hace que las motivaciones políticas pasen a un segundo plano y la gente puede desanimarse a abordarlas abiertamente. El resultado: las personas que fingen hacer algo por razones comerciales cuando esas razones son en realidad personales y políticas pueden tener una influencia perniciosa en la cultura organizacional. Guerras territoriales Las guerras territoriales son un elemento básico de la política organizativa. Ocurren cuando los actores dentro de una organización (oa veces entre organizaciones colaborativas) participan en la competencia por áreas de control burocrático, recursos o avance de metas y objetivos (individuales también Página 3/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial como organizacional). Esta competencia desvía la energía y el esfuerzo de otros esfuerzos al tiempo que crea tensión y fricción social entre actores rivales. Los combatientes de la guerra territorial pueden retener deliberadamente recursos e información unos a otros, o pueden usar su autoridad organizativa para debilitar o contrarrestar las demandas y requisitos impuestos por otros grupos. En guerras territoriales altamente patológicas, las organizaciones pueden fracturarse por completo cuando los actores y sus representantes intentan obstaculizar o sabotear deliberadamente los esfuerzos de los competidores internos. Como amenaza cultural, las guerras territoriales que involucran la seguridad pueden resultar en un colapso de la postura que introduce un riesgo significativo para la organización. Los silos y feudos organizativos pueden desarrollarse fuera de la influencia o el alcance de la gestión de seguridad central. En algunos casos, la administración central puede dejar de existir o puede ser relegada a un pequeño equipo de seguridad sin autoridad real para imponer la seguridad relacionada con las personas, los procesos o la tecnología en cualquier otra parte de la organización. La seguridad descentralizada no es necesariamente un producto de guerras territoriales, ya que hay muchas razones por las que las organizaciones pueden desear federar o delegar esfuerzos de seguridad. Pero en situaciones en las que la seguridad se convierte en un mecanismo mediante el cual los actores luchan por el territorio, la organización ' La postura de protección general puede verse afectada, a veces gravemente. Una batalla por el control El siguiente ejemplo ilustra la perversa amenaza de una guerra territorial. Una vez, un cliente contrató a mi empresa para realizar una prueba de penetración en su red. Desafortunadamente, no nos dimos cuenta de que Security Operations, el patrocinador interno de la prueba, estaba involucrado en una guerra territorial con Network Operations, que todavía era responsable de la seguridad de la empresa. ' s infraestructura de red. Security Operations esperaba usar la prueba de penetración para mostrar qué tan deficiente era la seguridad en la red, y luego reclamar autoridad sobre esos recursos (incluido el enorme presupuesto para la tecnología de seguridad que controlaba Network Ops). Pero el equipo de Operaciones de Red no se quedó atrás cuando se trataba de monitorear y proteger su dominio. Tres días después del inicio de la prueba, guardias de seguridad corporativos armados se presentaron en la sala de conferencias donde los probadores de pluma se habían instalado, amenazando con echarlos a todos del edificio y notificar a las autoridades. Todo el compromiso se convirtió rápidamente en un fiasco. En la batalla subsiguiente sobre quién tenía la autoridad para hacer qué, los resultados de las pruebas de penetración, incluidas algunas vulnerabilidades graves que se habíandescubierto desde el principio, se olvidaron casi por completo. El informe en sí, Sesgo del vendedor El sesgo de los proveedores se produce cuando los individuos o grupos dentro de la organización deciden sobre productos, tecnologías o proveedores en particular basándose en motivos políticos. Yo uso el término " vendedor " En términos generales, aquí para denotar cualquier entidad que proporcione bienes y servicios a una organización, comercialmente o de otro modo (los proveedores de software de código abierto, por ejemplo, se incluirían como proveedores incluso si no cobran o ni siquiera son una entidad comercial formal). Los motivos del sesgo de los proveedores pueden variar desde el deseo de proteger a los titulares hasta la trastienda o incluso acuerdos y asociaciones nepotistas. Una amenaza cultural surge cuando las preferencias o acuerdos con ciertos proveedores entran en conflicto con los resultados de seguridad deseados y crean conflictos de interés que introducen riesgos de seguridad. Cuando una organización jura por un proveedor en particular, o odia a otro hasta el punto en que la organización se niega a comprar ese proveedor. ' s (o utilícelos libremente, en el caso de código abierto) pase lo que pase, las decisiones racionales de seguridad pueden terminar siendo rehenes de fuerzas que pueden no estar plenamente articuladas o ni siquiera comprendidas dentro de la organización. Pueden surgir todo tipo de comportamientos extraños. Una organización puede terminar teniendo que dedicar recursos y presupuesto a soluciones alternativas para que su tecnología se ajuste a sus requisitos de seguridad. O los equipos de seguridad pueden negarse a sí mismos la mejor solución porque han decidido que no les gusta el proveedor por motivos personales. Los riesgos no se limitan a la tecnología. Los proveedores estructuralmente establecidos tienen menos motivación hacia la eficiencia y la rentabilidad. Internamente, la organización puede encontrarse detrás de la curva en habilidades e innovación al apoyar continuamente a los proveedores por un sentido de lealtad (o animosidad hacia un competidor) en lugar de un análisis comercial sólido. No hay nada de malo en construir relaciones duraderas entre empresas, pero si una relación desarrolla su propia base política dentro de una organización, puede terminar compitiendo directamente con los objetivos de seguridad e introduciendo incertidumbre y riesgo. Amenazas emocionales Las amenazas emocionales desafían a las organizaciones porque son lo opuesto a las organizaciones de toma de decisiones racionales y lógicas de las que tienden a enorgullecerse. En la industria, las emociones tienden a ser minimizadas en favor de la razón, y las emociones negativas como el miedo, los celos y el arrepentimiento se tratan como menos beneficiosas que las positivas como la pasión, la alegría y la esperanza. Casi todas las organizaciones afirman haber conquistado, o al menos controlado, el emocionalismo como base para la acción. Algunos incluso pueden haberlo hecho, como comúnmente se atribuye a Warren Buffet. ' s Berkshire-Hathaway, que ha adoptado un estilo de inversión sin emociones. Pero la mayoría de las organizaciones solo fingen ser tan fríamente racionales como afirman, cediendo e incluso confiando en " inteligencia emocional " a lo largo de sus operaciones. Las emociones pueden convertirse en una amenaza cultural cuando influyen en las decisiones, pero la organización niega su papel, lo que las hace inaccesibles para su análisis o mejora. Miedo, incertidumbre y duda Conocí a un CISO que una vez admitió libremente, aunque tímidamente, que los requisitos de conducción para su equipo de seguridad debían abordar " lo que sea más Recientemente me asusté muchísimo en los medios ... " Cada vez que una nueva vulnerabilidad o amenaza llegaba a las noticias, o incluso una nueva solución que podría representar un riesgo si la organización no la implementaba de inmediato, entraba en pánico. Las reuniones semanales del estado mayor eran a menudo un ejercicio en el que las tropas hablaban con el general lo más lejos posible de la cornisa y luego averiguaban cómo responder a los temores que quedaban y que no podían disipar. El CISO sabía que era una mala manera de ejecutar su programa InfoSec, pero por mucho que trató de no dejar que sus emociones lo guiaran, estaba constantemente preocupado por lo que podría sucederle a su empresa y a su carrera si uno de sus temores se concretaba y él. no lo había tomado lo suficientemente en serio. Hoy en dia ' En el mundo en red digital, la cantidad de cosas a las que temer desde la perspectiva de la seguridad de la información se acerca al infinito. En los últimos años se han producido ciberataques a gran escala contra algunas de las organizaciones más grandes y conocidas del planeta. Las emociones se disparan y no es de extrañar que la combinación de miedo, incertidumbre y duda (FUD) se haya convertido en el principal impulsor de la estrategia de seguridad. Es como si lo emocional y lo lógico se hubieran fusionado. En seguridad hoy en día, se le puede etiquetar como irracional por no estar lo suficientemente aterrorizado. Página 4/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial El problema con FUD como base para la estrategia de seguridad es que hace que las decisiones locas parezcan perfectamente justificadas en el calor del momento. No es un problema exclusivo de la seguridad y puede dar lugar a respuestas que cada vez tienen menos sentido a medida que se aleja del momento del pánico. En el Capítulo 2 escribí sobre la sensación de derrotismo que creo que se ha convertido en un rasgo cultural dominante en la seguridad hoy en día, y creo que es una amenaza cultural que tiene sus raíces tanto en FUD como en los incidentes que vemos que suceden. FUD nos permite resaltar eventos e incidentes de seguridad específicos (deliberadamente no estoy siendo específico aquí - buscar " peores incidentes de seguridad " en el último año si está buscando razones para entrar en pánico) mientras ignora todo lo que no ' Ir mal en la economía digital todos los días. FUD nos permite mantener el costo de las infracciones cibernéticas (las estimaciones varían ampliamente, pero varios intentos acreditados lo sitúan en el rango considerable de $ 300 - 600 mil millones cada año) como evidencia de que necesitamos un " todas las manos en el mazo " respuesta de la industria y el gobierno. Ese ' Ciertamente es un gran número, pero elevar la seguridad cibernética tiende a pasar por alto o ignorar los costos de otros desafíos globales que también justifican la adopción de medidas. Un informe de McKinsey de 2014, Superar la obesidad: un análisis económico inicial, estima los costos combinados del tabaquismo y la obesidad en más de $ 4 billones anuales (el doble del costo estimado de la guerra global, la violencia y el terrorismo), y estos problemas probablemente afecten a más profesionales de InfoSec directamente que las brechas de seguridad. Un enfoque racional basado en costos y recursos limitados para abordar los problemas globales parecería implicar que la seguridad de la información puede no ser la máxima prioridad. Pero la racionalidad no es la única fuerza que actúa aquí, y eso ' s el punto. Lógica emocional La lógica emocional puede parecer contradictoria, pero es una de las razones por las que FUD sigue siendo omnipresente. Es el sentimiento, que alimentamos y alentamos, de que estamos tomando decisiones objetivas y racionales cuando en realidad solo estamos haciendo lo que queremos hacer o pensamos que debemos hacer. Recuerde que los procesos encubiertos ocurren detrás de la fachada organizacional de la racionalidad. Dado que en las organizaciones se prioriza la razón, todo lo que se va a aceptar debe traducirse al lenguaje de la racionalidad. Mi amigo CISO se consoló a sí mismopor el hecho de que estaba enviando a su equipo a cacerías de agachadizas semanales expresando su miedo irracional en términos muy razonables de que estaba siendo proactivo. " ¿Qué pasa si somos vulnerables a esto y simplemente no ' ¿Aún no lo sabes? Nosotros ' Todos se alegrarán de haberlos hecho tomarse el tiempo para verificar cada uno de los dispositivos de la infraestructura. " Amenazas psicológicas Las amenazas psicológicas están estrechamente relacionadas con las amenazas emocionales, y tal vez incluso contribuyan a algunas de ellas. Pero estas amenazas son diferentes en el sentido de que se basan en funciones y procesos cognitivos de las personas que las crean. Los investigadores en los campos de la psicología, el desarrollo humano y la economía del comportamiento pasan sus carreras tratando de comprender las razones ocultas detrás de las personas. ' s decisiones. Las explicaciones van desde diferentes tipos de inteligencia entre individuos hasta diferentes sistemas cognitivos dentro de cada uno de nosotros. Las implicaciones para la seguridad pueden ser profundas, particularmente cuando, como en los ejemplos anteriores, el proceso encubierto opera fuera de la vista y fuera de la mente, no disponible para análisis o incluso observación. Alquimia estadística Veo un ejemplo de lógica emocional como una amenaza a la seguridad cultural cada vez que trabajo con clientes en sus programas de métricas de seguridad. Al comunicar información de seguridad, en particular información sobre amenazas y vulnerabilidades, los CISO y los gerentes de seguridad a menudo tienen poco más que las intuiciones de su personal para continuar. Nadie sabe realmente qué tan probable o qué tan grave podría ser un incidente, a menos que, por supuesto, esa persona tenga acceso a algún nivel de datos históricos, lo que muchas organizaciones no tienen. La lógica emocional puede impulsar el proceso de alquimia estadística al que me referí en el Capítulo 3, donde las opiniones se convierten en números reemplazando una mera descripción con una puntuación cuantitativa o una escala. La alquimia estadística puede transmutar mágicamente la pista de la pura especulación emocional en el oro mucho más valioso de los hechos científicos. " nuestra puntuación de riesgo es 3,85 " o " nuestra seguridad es 80% buena. " Por lo general, es casi imposible rastrear cómo se obtuvieron a partir de una descripción de riesgo de " bajo " a un número como " 3,85 " dados los datos empíricos disponibles. De hecho, el número probablemente tenga menos sentido incluso para el equipo de seguridad que un simple " bajo " alguna vez lo hizo, agregando incertidumbre al análisis de riesgo en lugar de eliminarlo, pero vaya, se ve mucho mejor en un gráfico. Limitaciones cognitivas Una amenaza cultural resultante de las limitaciones cognitivas ocurre cuando una estrategia de seguridad particular o un resultado deseado no tiene en cuenta las diferencias en la forma en que las personas procesan la información, interactúan con la tecnología, aprenden o adquieren nuevas habilidades profesionales. Las limitaciones cognitivas no son tan simples como las diferencias de inteligencia. Pueden ser generacionales, educativos, geográficos o culturales (en el sentido más amplio, así como pertenecientes a la cultura organizacional). El rasgo común de la seguridad es que las limitaciones cognitivas casi aseguran que una " talla única para todos " Es poco probable que el enfoque de la seguridad tenga éxito. Pensando en la audiencia Considere un ejemplo educativo de limitaciones cognitivas. Una medida del logro educativo es el nivel de lectura. En 2002 y 2003, la El gobierno de los Estados Unidos publicó la Evaluación Nacional de Alfabetización de Adultos (NAAL), el estudio más grande y completo sobre alfabetización de adultos en los Estados Unidos jamás realizado por el gobierno. Entre muchos hallazgos, el estudio estimó que el estadounidense promedio lee a un nivel de séptimo u octavo grado, con menos de una quinta parte de la población logrando " alfabetización completa, " es decir, un nivel de lectura equivalente al de alguien que tiene un título universitario. Desde entonces, la estimación se ha utilizado en las pautas para la legibilidad de todo, desde novelas populares hasta manuales de funcionamiento de maquinaria, etiquetas e instrucciones sobre productos farmacéuticos. En seguridad de la información, la creación y distribución de políticas y pautas son fundamentales como marco y base para los resultados de seguridad deseados. Las organizaciones gastan colectivamente miles de millones de dólares para redactar políticas de seguridad, publicarlas y, con regularidad, requieren que los usuarios las lean como evidencia de que saben lo que se espera de ellos cuando se trata de proteger los activos de información corporativa. Pero, ¿cuánto esfuerzo se pone en Página 5/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial comprender cuán legibles son estas políticas? Puedo decirles que el esfuerzo no siempre es suficiente, como lo demuestran mis análisis de legibilidad de numerosas políticas de seguridad del cliente. En un caso, un cliente se quejó porque tenía un proceso de creación y distribución de pólizas muy costoso y completo y, sin embargo, seguía viendo infracciones continuas de la póliza. " Eso ' es como si nadie ni siquiera leyera las cosas, " dijo el CISO. Un análisis de legibilidad mostró una explicación potencialmente diferente. Utilizando escalas estándar de legibilidad, la empresa ' Las políticas de s a menudo requerían el equivalente a un título de posgrado para leerlas y comprenderlas por completo. Entonces, es posible que todos hayan estado leyendo las políticas de seguridad, pero la mayoría de las personas probablemente las encontraron imposibles de entender, y mucho menos cumplir. Considere solo un breve fragmento: Los empleados tienen la obligación ética, así como legal, de cumplir con los requisitos articulados en esta política. El incumplimiento de los requisitos de seguridad obligatorios genera un riesgo y una responsabilidad empresarial importantes. Es responsabilidad de los empleados revisar y familiarizarse periódicamente con el contenido y los requisitos de esta política. El no hacerlo puede resultar en consecuencias hasta e incluyendo la terminación inmediata de la situación laboral. Es posible que los gerentes de seguridad no piensen que es un problema que tales políticas estén escritas en dialectos particulares de jerga legal y lenguaje de recursos humanos, y luego se difundan a través de plantillas de cortar y pegar implementadas por organizaciones a menudo más interesadas en marcar una casilla de cumplimiento que en ayudar a las personas a descubrir lo que necesitan. se supone que debemos hacer. Tal política puede parecer tener sentido racional (usted quiere una que funcione como un contrato legal entre los empleados y el empleador). Pero intente hacer que su estrategia de seguridad funcione realmente cuando las personas más responsables de implementarla sean también las menos capaces de entenderla. Diferencias cognitivas El campo de la economía del comportamiento está en auge. Daniel Kahneman, Dan Ariely y Daniel Gardner (me pregunto qué es un economista del comportamiento podría hacer del hecho de que muchos de mis expertos favoritos en economía del comportamiento se llaman Daniel …) Todos hemos publicado libros que teorizan formas en las que nuestros procesos racionales de toma de decisiones a menudo no son racionales en absoluto. Un tema general entre sus libros es que los seres humanos no parecen procesar información o tomar decisiones de la manera simple y lineal que tradicionalmente hemos aceptado. Las decisiones humanas son una mezcolanza de actividad cognitiva, algunas deliberativas y lo que reconoceríamos como racionales, y otras que surgen de la correspondenciade patrones intuitiva primitiva que parece estar integrada en nuestra biología evolutiva. El resultado es un conjunto de funciones cognitivas diferentes que pueden engañarnos enormemente a la vez que proporcionan una sensación casi física (o tal vez real) de certeza y claridad sobre lo que creemos saber. En seguridad, estas diferencias cognitivas se manifiestan como amenazas culturales con mayor frecuencia cuando se trata de tratar de averiguar el riesgo. Las personas son absolutamente terribles para evaluar el riesgo, o incluso para decidir a qué deberían temer realmente. Doug Hubbard, autor de El fracaso de la gestión de riesgos: por qué ' s roto y cómo solucionarlo, ha ido tan lejos como para afirmar que el mayor riesgo individual al que se enfrentan la mayoría de las organizaciones es probablemente la forma en que hacen su gestión de riesgos, una afirmación que podría sonar tristemente cierta para algunos CISO actuales y anteriores. ' Conozco, sin mencionar algunas instituciones financieras y una instalación nuclear o dos. Amenazas logísticas Las amenazas logísticas pueden desarrollarse siempre que una estrategia de seguridad no se pueda realizar debido a incompatibilidades con la infraestructura organizativa existente. La implementación de una política de contraseñas segura en toda la empresa cuando algunos sistemas son incapaces de manejar contraseñas complejas es un ejemplo. Obligar el uso de ciertas tecnologías que son incompatibles con los sistemas heredados es otro ejemplo. Como las otras amenazas culturales que ' Como hemos descrito, es cuando los problemas logísticos funcionan como un proceso encubierto que afecta una estrategia racional percibida que se vuelven riesgosos y peligrosos. Sistemas incompatibles Los dos ejemplos anteriores tienen que ver con requisitos de imposición de seguridad que entran en conflicto o no son compatibles con los sistemas existentes. En el mundo de la auditoría y el cumplimiento, estas situaciones se encuentran con regularidad y han producido el concepto de controles de compensación como una salvaguarda contra los riesgos que han sido evaluados y aceptados como necesarios pero que requieren un esfuerzo adicional para su gestión. En otras organizaciones, el problema se maneja mediante procesos de excepción que permiten a las personas con (más o menos) buenas razones optar por no cumplir con ciertos requisitos de seguridad. Cualquiera que sea el caso, el resultado es que se debe crear un nuevo sistema o sistemas para alinear la estrategia de seguridad con los hechos de seguridad. Excepciones como regla He observado organizaciones en las que más de la mitad de los sistemas en funcionamiento ejecutaban configuraciones no estándar, supuestamente violaciones de los estándares corporativos de seguridad de los equipos, pero a las que se les habían concedido excepciones de seguridad. Uno se pregunta qué tan racional es una organización ' La estrategia de seguridad puede ser cuando seguirla adecuadamente en el despliegue de sistemas tecnológicos realmente lo convierte en la excepción. Sin embargo, esta paradoja a menudo puede perderse en la niebla de la seguridad, cuando la lógica de lo que debe hacerse de acuerdo con algún régimen de cumplimiento o el temido " mejores prácticas de la industria " abruma la realidad de lo que es realmente posible dentro del medio ambiente. Resultados incompatibles Las incompatibilidades de seguridad no solo ocurren con la tecnología, como demostró mi estudio de caso anterior de Clara, la desarrolladora en el Capítulo 2. Los resultados mismos pueden estar reñidos entre sí en niveles muy básicos. BYOD y la nube son casos actuales en los que la estrategia empresarial puede chocar directamente con la estrategia de seguridad. Cuando las diferencias en la estrategia se gestionan correctamente, se pueden evitar las amenazas. Cuando los resultados en competencia (agilidad del mercado frente al control de la seguridad, por ejemplo) no se gestionan adecuadamente, especialmente cuando los desafíos logísticos están imbuidos de dimensiones políticas, emocionales y psicológicas, pueden convertirse en una seria amenaza para la seguridad y la organización. ' s negocio. Página 6/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Tratar la seguridad como un resultado estratégico independiente de otros objetivos organizacionales puede crear una elección falsa, un juego de suma cero en el que cada concesión al negocio se considera una pérdida de seguridad y cada capitulación a la seguridad. ' s demandas se considera un golpe a la eficiencia empresarial. Esto no es racional, independientemente de las justificaciones y casos comerciales que se hagan de cada lado. La complejidad de hoy ' s organizaciones y empresas significa que nada se puede asegurar por completo ni hacer totalmente eficiente. Todo lo que importa es lograr un equilibrio productivo entre las diversas fuerzas, incluidas las fuerzas culturales, que actúan dentro de una organización mientras intenta alcanzar sus objetivos. Esto incluye equilibrar el riesgo de seguridad con el riesgo comercial, no solo el riesgo de tener muy poca seguridad, sino también los riesgos comerciales que pueden surgir con las infraestructuras de seguridad demasiado restrictivas que obstaculizan a una empresa. ' s agilidad e innovación. La competencia cultural como fuente de riesgo El ejercicio de modelado de amenazas culturales descrito en este capítulo nunca será tan sencillo como los sistemas tecnológicos limitados por modelado de amenazas. Estos últimos son sistemas complicados, a veces asombrosamente, pero un sistema complicado tiene un conjunto finito de estados y posibles resultados. Teóricamente, puede conocerlos todos de antemano, incluidas todas las posibles amenazas asociadas con el sistema. Sin embargo, un sistema complejo produce comportamientos emergentes que no se pueden conocer de antemano, pero que se desarrollan fuera del uso y la interacción con otras entidades del sistema. Las posibilidades se acercan al infinito. Cuando se coloca en alguien un teléfono inteligente complicado, un conmutador de red o un programa de software ' s manos y luego incorporado a un sistema de otras tecnologías y, lo más importante, personas, se convierte en un componente de un sistema complejo. Ya no es posible predecir todas las formas en que se utilizará el componente, incluidas todas las amenazas asociadas con él. Los modelos de amenazas culturales muestran no solo los riesgos que existen entre las amenazas en un sentido tradicional (un actor o fenómeno natural que crea un resultado negativo basado en la debilidad del sistema), sino también los riesgos asociados con la interacción legítima y la competencia entre los componentes del sistema, particularmente los humanos. partes interesadas. Existe un equilibrio de fuerzas dentro de estos sistemas, y el riesgo para un actor o entidad puede equivaler a una oportunidad para otro, creando escenarios donde el fracaso es indeseable y también un resultado natural del éxito en otros lugares. Si los fracasos o los éxitos comienzan a dominar de manera desproporcionada, todo el sistema puede comenzar a desequilibrarse y puede experimentar una falla o colapso sistémico más general. La lección del modelado de amenazas culturales específicamente, y la seguridad centrada en las personas en general, no se trata de tratar de enumerar todas las amenazas posibles desde o hacia la cultura. Esto es imposible. En cambio, estos modelos de amenazas tratan de controlar las fuerzas en competencia que están operando actualmente en cualquier sistema organizacional complejo, para observar sus orígenes y efectos, y para intentar recuperar el equilibrio cuando se desplazan peligrosamente hacia un lado o hacia un lado. otro. Es mucho más difícil de hacer cuando algunas o la mayoría de las entidades de amenaza estánoperando como procesos encubiertos que no podemos o elegimos no observar. El riesgo es creado por estas interacciones cuando las personas dicen que están haciendo una cosa por una cierta razón, basándose en la lógica y el análisis racional, pero en realidad lo hacen por diferentes razones que pueden no tener nada que ver con la objetividad. Evaluando la competencia La gestión de riesgos centrada en las personas no se trata de intentar predecir el comportamiento humano, al menos no exactamente. En cambio, se trata de arrojar una luz analítica sobre las relaciones organizativas y culturales para descubrir dónde existen procesos encubiertos, comportamientos ocultos y competencia y es posible que sea necesario administrarlos y equilibrarlos. Las fuentes de competencia en los programas de seguridad organizacional, los puntos de presión donde los procesos encubiertos producen amenazas culturales, incluyen una organización ' s partes interesadas, prioridades y valores. Partes interesadas en seguridad que compiten Los interesados son personas individuales y grupos organizados. Un CISO es una parte interesada, al igual que un organismo regulador que define los requisitos de auditoría y cumplimiento de TI para una industria. Los interesados en la seguridad de la información no tienen que estar conectados directamente con las operaciones de seguridad. Los usuarios son partes interesadas en el sentido de que dependen de la confidencialidad, integridad y disponibilidad de los activos de TI para realizar su trabajo. Los clientes son partes interesadas por la misma razón. Las partes interesadas no necesitan preocuparse conscientemente por la seguridad de la información; solo necesitan tener un interés explícito o implícito (una participación) en los resultados de las actividades de seguridad. En InfoSec, esto incluye a casi cualquier persona que dependa de la tecnología de la información. El hecho de que las partes interesadas estén interesadas en la seguridad no significa que apoyen por igual los esfuerzos de seguridad o que tengan los mismos objetivos. Las partes interesadas pueden competir entre sí, incluso cuando ambos se dedican a proteger los sistemas y activos de información. Un auditor ' Los objetivos no son necesariamente los mismos que los de un gerente de seguridad. ' s. El auditor desea explorar y tal vez exponer tantos problemas de seguridad como sea posible, con el fin de forzar el cambio y reducir el riesgo de acuerdo con algún requisito reglamentario o de otro tipo, independientemente de los recursos requeridos. Un gerente de seguridad desea completar con éxito una auditoría con un nivel mínimo de tiempo y esfuerzo. Tanto el auditor como el gerente de seguridad quieren una buena seguridad, pero sus ideas sobre lo que eso significa pueden competir ferozmente en lo que respecta al resultado final. Cuando las partes interesadas existen completamente fuera de la seguridad, la competencia puede volverse aún más intensa. Los miembros de una organización tienen muchas cosas que les importan, y algunas de esas cosas son más visibles o más importantes que otras. Es posible que deseen agilidad, productividad e innovación más que cualquier otra cosa. Los miembros del equipo de seguridad pueden querer que las cosas estén protegidas y sean predecibles. Estas prioridades compiten. Un CISO es el actor de seguridad más destacado en una organización, pero como ejecutivo, ese CISO también tiene interés en el crecimiento continuo y el éxito de la empresa. Si la seguridad empresarial es demasiado restrictiva, si inhibe demasiado la competitividad o el desempeño del mercado, entonces toda la empresa puede sufrir y el CISO habrá fallado tanto como si un incidente de seguridad dañino hubiera causado el problema. Las organizaciones de hoy son entidades colectivas, pero la burocracia y la especialización profesional han creado una fragmentación en torno a los roles y funciones laborales. Las personas tienden a estar capacitadas para un conjunto muy específico de capacidades que definirán sus carreras durante años o incluso décadas. Hablamos de profesionales de la seguridad, profesionales de RR.HH. y profesionales de la gestión de proyectos, cada uno con su propio cuerpo de conocimientos, requisitos de certificación y cultura de trabajo. Esta especialización tiende a dar como resultado que las personas prioricen los intereses y suposiciones de su estrecho campo por encima de los deseos y expectativas de los demás. Esta especialización es necesaria para abordar problemas complejos en la actualidad. ' s entornos empresariales, pero contribuye a la creación de feudos y silos que inhiben la visibilidad y coordinación organizacional. Prioridades de seguridad en competencia Página 7/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Ya he dedicado varias páginas a las formas en que las prioridades de seguridad pueden competir con las prioridades que no son de seguridad. Pero es importante señalar que también existen conflictos dentro de la seguridad. Parte de la razón es que la seguridad de la información se ha convertido en una gran disciplina, con ramas y subcampos, por derecho propio. Tanto los gestores de conciencia de seguridad como los administradores de cortafuegos operan dentro del campo más amplio de InfoSec, pero probablemente sean tipos de personas muy diferentes. Y es posible que no siempre estén de acuerdo sobre cuáles deberían ser las consideraciones más importantes para la seguridad. La educación, la experiencia y las interacciones con la tecnología y otras personas informarán su visión del mundo de formas posiblemente muy diferentes. Los profesionales de la seguridad también tienen que lidiar con prioridades que pueden no ser bien recibidas por los puristas que desean centrarse exclusivamente en los fundamentos de la protección de los activos de información y el cumplimiento de las políticas de seguridad. Los presupuestos y los recursos son principios de seguridad tanto como la confidencialidad, la integridad y la disponibilidad. Pocas organizaciones tienen suministros ilimitados, por lo que las cosas que deben hacerse se equilibran con las cosas que deben hacerse, y la lucha es cómo decidir dónde se traza esa línea. Los riesgos y las amenazas a menudo pueden ser principalmente un producto de la eficacia con la que un equipo de seguridad asigna sus capacidades limitadas, lo que puede explicar por qué algunas organizaciones tienen éxito mientras que sus pares que parecen muy similares fracasan. Lo que a menudo se caracteriza como mala suerte o en el momento oportuno a menudo se puede atribuir a una mala gestión de las prioridades en competencia. Valores de seguridad que compiten Las prioridades tienen que ver con elegir lo que es importante entre múltiples posibilidades. Los valores se refieren a por qué pensamos que algo es importante en primer lugar. Nuestros valores de seguridad impulsan nuestras prioridades de seguridad, pero a menudo por razones de las que somos menos conscientes. Si nuestras prioridades de seguridad son la clasificación más o menos racional de nuestras decisiones, nuestros valores de seguridad reflejan más de cerca las suposiciones y sesgos en el corazón de nuestra cultura de seguridad. Cuando los valores de seguridad se contradicen, los efectos repercuten en las decisiones y los resultados de toda la organización. I ' Trabajé con equipos de seguridad que compartían contraseñas de administrador, con organizaciones que se negaban a permitir pruebas de penetración en ciertos sistemas clave y en lugares donde la latencia de autenticación requería de 10 a 15 minutos entre el inicio de sesión y el acceso a un sistema crítico para la empresa. En todos los casos, las partes interesadas en la seguridad responsables de los sistemas habían equilibrado un valor que consideraban importante (no repudio, visibilidadde las vulnerabilidades y productividad, respectivamente, en estos casos) con un valor de seguridad competitivo. Cada acto de equilibrio introdujo uno o más riesgos en el medio ambiente. Pero ninguno de estos casos fue visto como irracional o inaceptable cuando la organización en cuestión lo describió. Es posible que hayan querido cambiar las cosas, o tal vez desearon poder ser diferentes. Pero cada uno tuvo que lidiar con el hecho de que el suyo era un mundo imperfecto, " Oye, es lo que es, " me dijo un gerente de seguridad, levantando las manos, cuando le señalé suavemente uno de estos conflictos. Cuando determinados valores de seguridad se aceptan e incorporan, pueden crear un patrón cultural. Se desarrolla una especie de camino de menor resistencia donde algunas ideas y propuestas se aceptan más fácilmente y enfrentan menos escrutinio que otras porque resuenan con el patrón. Los patrones pueden convertirse en arquetipos culturales (o estereotipos, si lo prefiere), como una personalidad colectiva que anticipa (pero no ' t predecir - después de todo, son personas) resultados probables. Es probable que una organización fuertemente regulada con visitas regulares de auditores adopte una mentalidad de cumplimiento, pensando como los auditores a los que responde, hasta que la mayoría de las decisiones se filtren a través de la lente de " ¿Cómo afectará esto a la auditoría? " Un entorno abierto que se basa en el libre flujo de información y el acceso para lograr el éxito puede convertirse en un escéptico de seguridad, interrogando a un CISO sobre cada iniciativa propuesta y si el control impedirá o no a las personas. ' s capacidad para hacer su trabajo. El efecto de valores culturales en competencia se ha estudiado fuera de la seguridad, con la investigación de procesos encubiertos. ' He citado ser solo un ejemplo. Los investigadores han utilizado el concepto de fuerzas culturales competitivas como una forma de medir, administrar y transformar la cultura organizacional, guiados por la lógica de que si podemos entender por qué nos comportamos de cierta manera, tenemos más posibilidades de cambiar ese comportamiento. Estas teorías y métodos se utilizan actualmente en los círculos de la ciencia de la gestión y la consultoría empresarial, y no tengo conocimiento de ningún intento importante de aplicarlos a la seguridad de la información. En las próximas secciones del libro, intentaré hacer precisamente eso. Otras lecturas norte Ariely, Dan. Previsiblemente irracional: las fuerzas ocultas que dan forma a nuestras decisiones. Nueva York: HarperCollins, 2008. norte Gardner, Daniel. La ciencia del miedo: por qué tememos las cosas que no deberíamos ' t - y ponernos en mayor peligro. Nueva York: Dutton, 2008. norte Hubbard, Douglas W. El fracaso de la gestión de riesgos: por qué ' s Broken y cómo solucionarlo. Hoboken, Nueva Jersey: Wiley, 2009. Kahneman, Daniel. Pensar rápido y lento. Nueva York: Farrar, Straus y Giroux, 2011.norte norte Marshak, Robert. Procesos encubiertos en acción: gestión de las cinco dimensiones ocultas del cambio organizacional. San Francisco: Berrett- Koehler, 2006. norte Centro Nacional de Estadísticas Educativas. " Evaluación Nacional de Alfabetización de Adultos. " Disponible en http://nces.ed.gov/ . Shostack, Adam. Modelado de amenazas: diseño para la seguridad. Hoboken, Nueva Jersey: Wiley, 2014.norte Página 8/8 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA http://nces.ed.gov/ Chapter 4: Cultural Threats and Risks Cultural Threat Modeling Getting to Know PEPL Cultural Competition as a Source of Risk Further Reading
Compartir