4

Vista previa del material en texto

Seguridad centrada en las personas: transformar la seguridad de su empresa
Cultura
por Lance Hayden
McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción.
Reimpreso para Carlos Gonzalez Aspajo, ISACA
gonascar@hotmail.com
Reproducido con permiso como beneficio de suscripción de Libros 24x7,
http://www.books24x7.com/
Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o
Se prohíben otras formas sin permiso por escrito.
Traducido del inglés al español - www.onlinedoctranslator.com
http://www.books24x7.com/
https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Capítulo 4: Amenazas y riesgos culturales
Habiendo cubierto el terreno de los tres capítulos anteriores, ' Nos quedan muchas evidencias circunstanciales sobre la relación entre la seguridad de la 
información y la cultura organizacional. Pero, ¿dónde llega la goma a la carretera? ¿Dónde está la interfaz empírica y tangible entre cultura y seguridad 
que nos permite imaginar, observar y diseñar en torno a los desafíos y oportunidades de nuestras propias culturas de seguridad?
Modelado de amenazas culturales
En los últimos años, la industria de la seguridad se ha interesado en los enfoques de seguridad centrados en amenazas, que intentan abordar a los actores 
responsables de los incidentes de seguridad en lugar de centrarse en las debilidades que dichos actores podrían explotar (enfoque centrado en la vulnerabilidad) o las 
cosas que quieren hacer. ataque (enfoque centrado en activos). Con este fin, se demandan metodologías para modelar amenazas a la seguridad. El reciente éxito de 
Adam Shostack ' s Modelado de amenazas: diseño para la seguridad, incluyendo ser nominado como uno de los mejores libros de seguridad para 2014, demuestra el 
interés popular dentro de la comunidad de seguridad.
Modelado de amenazas está predominantemente centrado en la tecnología, pero Adam se esfuerza por explorar los factores humanos, un tema que también enfatizó 
en su libro anterior, La nueva escuela de seguridad de la información. Obviamente interesado en los modelos sociales y de comportamiento y su aplicabilidad a la 
industria de la seguridad, Adam cataloga y describe varias teorías, aplicándolas a un alto nivel en nuestro campo. Y reconoce y articula explícitamente la necesidad de 
modelos mejorados para describir mejor cómo las personas " hacer " seguridad, así como el valor de incorporar a nuestros esfuerzos otras tradiciones de investigación 
como la sociología, la antropología y la psicología. Modelado de amenazas nunca se aplica directamente a las personas la metodología STRIDE que Adam ayudó a crear, 
pero el libro sirve como un respaldo tentador de técnicas de modelado de amenazas más culturales para complementar los modelos centrados en la tecnología y los 
actores de los que depende la industria hoy en día.
Hoy dia ' Las técnicas de modelado de amenazas suponen más o menos un sistema de información limitado o un activo que de alguna manera se enfrenta a un ataque 
u otro compromiso. Esto se presta muy bien a un producto o sistema específico, pero el modelado de amenazas se rompe si intenta aplicarlo a algo menos circunscrito, 
como los comportamientos humanos o los sistemas sociales. Desafortunadamente, los responsables de la seguridad no ' Vivo en un mundo donde la única 
preocupación es un sistema tecnológico. En la compleja red de relaciones del mundo real, los sistemas tecnológicos interactúan, influyen y son moldeados por otros 
actores y eventos, incluidas las personas, las fuerzas de la naturaleza y otros sistemas complejos. Los comportamientos emergentes resultantes hacen que el 
establecimiento de límites alrededor de cualquier elemento particular del sistema sea artificial en el mejor de los casos, aunque asumir tales límites arbitrarios se 
vuelve algo obligatorio para romper y analizar desafíos que de otro modo desafiarían el análisis. Aplicado a los modelos de amenazas, esto solo significa que tenemos 
que sentirnos cómodos reemplazando el hardware, el software y las redes con límites más abstractos como la persona, el grupo social y la organización, algo en lo que 
los científicos sociales son expertos.
Procesos encubiertos y riesgo cultural
Modelado de amenazas a la seguridad que involucran a una organización ' La cultura realmente no es tan diferente de modelar las amenazas a la seguridad que 
involucran software o hardware. En el centro hay un ejercicio básico para exponer lo no obvio, hacerlo observable y tangible de una manera que pueda analizarse 
adecuadamente para gestionar o mitigar la amenaza de manera adecuada. Las diferencias son menos conceptuales que operativas. No todas las aplicaciones de 
software se modelarán de la misma manera, y las amenazas de hardware y software pueden ser muy diferentes desde la perspectiva del modelado de amenazas. 
Modelar las amenazas culturales es solo una variación más de este tema. Habrá diferentes fuentes de amenazas, diferentes formas de describirlas y diferentes 
enfoques para manejarlas.
Dado que el modelado de amenazas tradicional consiste en hacer visible la relación oculta entre los responsables de las fallas de seguridad y los medios por los cuales falla la 
seguridad, podemos intentar replicar ese enfoque para la cultura. Resulta que hay investigaciones disponibles en esta área. Procesos encubiertos, un concepto desarrollado por 
primera vez por el estudioso del desarrollo organizacional Bob Marshak, son fuerzas y dinámicas organizacionales que están ocultas pero ejercen efectos poderosos en nuestras 
comunicaciones y esfuerzos para lograr metas. Experimentamos los procesos encubiertos como agendas ocultas, reglas tácitas o tabúes organizacionales. Muchos de los ejemplos 
que ' Lo que hemos dado hasta ahora en este libro son evidencia de procesos encubiertos que funcionan dentro de una organización. También están en el corazón del riesgo cultural 
desde una perspectiva de seguridad.
Los procesos encubiertos y los comportamientos que crean son difíciles de reconocer y abordar porque generalmente están camuflados 
por apelaciones a un proceso mucho más abierto, la lógica racional. Volviendo a la metáfora del iceberg de la cultura y el comportamiento, 
la toma de decisiones supuestamente lógica y objetiva es uno de los aspectos más visibles de la actividad organizacional. Hacemos planes 
y desarrollamos estrategias para la actividad basados en nuestros análisis de lo que creemos que se debe lograr para el éxito 
organizacional. Este es, posiblemente, el trabajo principal de los gerentes y líderes en una empresa. Debaten los requisitos y los resultados 
deseados, trazan el mejor camino racional para llegar allí y establecen las condiciones mediante las cuales la organización ejecutará su 
estrategia.
Los líderes organizacionales, habiendo emprendido una deliberación lógica y racional para desarrollar la mejor estrategia, tienden a esperar que todos los demás en la 
organización acepten sus planes. No hacerlo sería irracional; literalmente no tendría sentido. Y lo que no tiene sentido lógico no tiene cabida en la gestión de la 
organización. Después de todo, ¿cómo puedes responder a alguien que no está siendo razonable? Pero la racionalidad es solo una dinámica organizacional, al igual 
que la razón coexiste en los individuos junto con factores físicos, emocionales y psicológicos que pueden dominar y dominan nuestra razón todo el tiempo. Al ignorar 
todo menos la lógica, las organizaciones a menudo se niegan a sí mismas la información que necesitarían para comprender por qué falló una estrategia.
Inspirado por Adam Shostack ' s trabajo, y basándose en la literatura sobre procesos encubiertos, me ' Desarrollé un modelo de amenazas simplificado para la cultura 
de seguridad. Como nos encantan los acrónimos y los mnemónicos en seguridad, y la literatura de modelado de amenazastiene su parte justa en métodos como 
STRIDE, DREAD y OCTAVE, decidí continuar con la tradición y busqué un buen mnemónico. Los dioses acrónimos me sonrieron. Las personas están en el centro de las 
amenazas culturales, tanto como actores como objetivos. Y las amenazas políticas, emocionales, psicológicas y logísticas a menudo son centrales encubiertas.
Página 2/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
procesos que crean riesgos dentro de una organización. Así nació mi modelo de amenaza cultural, PEPL.
Conociendo PEPL
Las amenazas de PEPL afectan los resultados de seguridad deseados en lugar de los sistemas delimitados. Estos resultados de seguridad son deseables debido a una 
deliberación lógica y racional por parte de la organización que los definió como la forma en que deberían funcionar las cosas. Un resultado casi siempre será una 
combinación de personas, procesos y tecnología, y pueden existir amenazas para algunos o todos estos elementos. Buenos ejemplos de resultados serían traer un 
producto de software al mercado que no tenga fallas de seguridad ocultas, o una organización que no se vea afectada por una violación masiva de datos debido a un 
sistema comprometido. Como en el modelado tradicional de amenazas a la seguridad, la amenaza se basa en alguna vulnerabilidad en el sistema, aunque prefiero 
referirme a ellas como " debilidades " para evitar confusiones con vulnerabilidades técnicas. Tabla 4-1 describe y define la amenaza PEPL específica junto con el objetivo 
probable de la amenaza y ejemplos de debilidades culturales específicas y sus efectos en los resultados de seguridad. Por supuesto, el efecto final es una falla de 
seguridad que conduce a un incidente, a menudo provocado por la incapacidad de lograr el resultado deseado.
Tabla 4-1: Modelo de amenaza PEPL
Al igual que otros marcos de modelado de amenazas, PEPL es principalmente una herramienta de lluvia de ideas. Puede generar un gran conjunto de problemas 
potenciales para los resultados de seguridad que su organización espera lograr, mucho más grande incluso que un modelo tradicional que se centra en un sistema 
acotado. Si bien es fácil aplicar PEPL a esos mismos sistemas delimitados (aplicaciones de software, sistemas de hardware, incluso un departamento o función), a 
menudo las amenazas resultantes serán funciones de la organización en su conjunto. La cultura que termina por definir el uso de un sistema de personas, procesos o 
tecnología es la cultura de todos los que dependen de él, sean o no miembros inmediatos de los equipos de seguridad de la información.
Amenazas políticas
Las amenazas políticas ocurren cuando los intereses y las agendas chocan dentro de una organización de una manera que daña la efectividad organizacional. La política está en 
todas partes en los negocios, y las rivalidades políticas, las alianzas y los conflictos entre individuos y grupos son tan comunes que los damos por sentados incluso cuando nos 
quejamos de sus efectos. Lo que hace que la política sea un proceso encubierto no es nuestra falta de conciencia de que existen comportamientos políticos, sino nuestra renuencia a 
admitir hasta qué punto juegan un papel en nuestras decisiones comerciales. Los políticos profesionales, por supuesto, tienen menos problemas para admitir maniobras políticas 
abiertas, pero los empleados y gerentes que se comportan de esta manera pueden verse acusados de manipulación o manipulación. " jugando a la política " en lugar de anteponer 
las necesidades de la empresa. Las ambiciones y motivaciones políticas individuales a menudo se consideran poco profesionales e incompatibles con las buenas prácticas de 
gobernanza. Se supone que las partes interesadas del negocio deben planificar y establecer la estrategia de manera racional, sobre la base de evidencia objetiva, no por ambiciones 
o rivalidades personales. El resultado es a menudo una situación en la que las dimensiones políticas de una actividad de planificación o decisión no se admiten o se camuflan dentro 
de racionalizaciones que son más aceptables profesionalmente. Esto hace que las motivaciones políticas pasen a un segundo plano y la gente puede desanimarse a abordarlas 
abiertamente. El resultado: las personas que fingen hacer algo por razones comerciales cuando esas razones son en realidad personales y políticas pueden tener una influencia 
perniciosa en la cultura organizacional.
Guerras territoriales
Las guerras territoriales son un elemento básico de la política organizativa. Ocurren cuando los actores dentro de una organización (oa veces entre organizaciones 
colaborativas) participan en la competencia por áreas de control burocrático, recursos o avance de metas y objetivos (individuales también
Página 3/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
como organizacional). Esta competencia desvía la energía y el esfuerzo de otros esfuerzos al tiempo que crea tensión y fricción social entre actores rivales. Los combatientes de la 
guerra territorial pueden retener deliberadamente recursos e información unos a otros, o pueden usar su autoridad organizativa para debilitar o contrarrestar las demandas y 
requisitos impuestos por otros grupos. En guerras territoriales altamente patológicas, las organizaciones pueden fracturarse por completo cuando los actores y sus representantes 
intentan obstaculizar o sabotear deliberadamente los esfuerzos de los competidores internos.
Como amenaza cultural, las guerras territoriales que involucran la seguridad pueden resultar en un colapso de la postura que introduce un riesgo significativo para la organización. Los silos y 
feudos organizativos pueden desarrollarse fuera de la influencia o el alcance de la gestión de seguridad central. En algunos casos, la administración central puede dejar de existir o puede ser 
relegada a un pequeño equipo de seguridad sin autoridad real para imponer la seguridad relacionada con las personas, los procesos o la tecnología en cualquier otra parte de la organización. La 
seguridad descentralizada no es necesariamente un producto de guerras territoriales, ya que hay muchas razones por las que las organizaciones pueden desear federar o delegar esfuerzos de 
seguridad. Pero en situaciones en las que la seguridad se convierte en un mecanismo mediante el cual los actores luchan por el territorio, la organización ' La postura de protección general puede 
verse afectada, a veces gravemente.
Una batalla por el control
El siguiente ejemplo ilustra la perversa amenaza de una guerra territorial.
Una vez, un cliente contrató a mi empresa para realizar una prueba de penetración en su red. Desafortunadamente, no nos dimos cuenta de que 
Security Operations, el patrocinador interno de la prueba, estaba involucrado en una guerra territorial con Network Operations, que todavía era 
responsable de la seguridad de la empresa. ' s infraestructura de red. Security Operations esperaba usar la prueba de penetración para mostrar qué tan 
deficiente era la seguridad en la red, y luego reclamar autoridad sobre esos recursos (incluido el enorme presupuesto para la tecnología de seguridad 
que controlaba Network Ops). Pero el equipo de Operaciones de Red no se quedó atrás cuando se trataba de monitorear y proteger su dominio. Tres 
días después del inicio de la prueba, guardias de seguridad corporativos armados se presentaron en la sala de conferencias donde los probadores de 
pluma se habían instalado, amenazando con echarlos a todos del edificio y notificar a las autoridades. Todo el compromiso se convirtió rápidamente en 
un fiasco. En la batalla subsiguiente sobre quién tenía la autoridad para hacer qué, los resultados de las pruebas de penetración, incluidas algunas 
vulnerabilidades graves que se habíandescubierto desde el principio, se olvidaron casi por completo. El informe en sí,
Sesgo del vendedor
El sesgo de los proveedores se produce cuando los individuos o grupos dentro de la organización deciden sobre productos, tecnologías o proveedores en particular basándose 
en motivos políticos. Yo uso el término " vendedor " En términos generales, aquí para denotar cualquier entidad que proporcione bienes y servicios a una organización, 
comercialmente o de otro modo (los proveedores de software de código abierto, por ejemplo, se incluirían como proveedores incluso si no cobran o ni siquiera son una entidad 
comercial formal). Los motivos del sesgo de los proveedores pueden variar desde el deseo de proteger a los titulares hasta la trastienda o incluso acuerdos y asociaciones 
nepotistas. Una amenaza cultural surge cuando las preferencias o acuerdos con ciertos proveedores entran en conflicto con los resultados de seguridad deseados y crean 
conflictos de interés que introducen riesgos de seguridad.
Cuando una organización jura por un proveedor en particular, o odia a otro hasta el punto en que la organización se niega a comprar ese proveedor. ' s (o utilícelos libremente, en el 
caso de código abierto) pase lo que pase, las decisiones racionales de seguridad pueden terminar siendo rehenes de fuerzas que pueden no estar plenamente articuladas o ni 
siquiera comprendidas dentro de la organización. Pueden surgir todo tipo de comportamientos extraños. Una organización puede terminar teniendo que dedicar recursos y 
presupuesto a soluciones alternativas para que su tecnología se ajuste a sus requisitos de seguridad. O los equipos de seguridad pueden negarse a sí mismos la mejor solución 
porque han decidido que no les gusta el proveedor por motivos personales. Los riesgos no se limitan a la tecnología. Los proveedores estructuralmente establecidos tienen menos 
motivación hacia la eficiencia y la rentabilidad. Internamente, la organización puede encontrarse detrás de la curva en habilidades e innovación al apoyar continuamente a los 
proveedores por un sentido de lealtad (o animosidad hacia un competidor) en lugar de un análisis comercial sólido. No hay nada de malo en construir relaciones duraderas entre 
empresas, pero si una relación desarrolla su propia base política dentro de una organización, puede terminar compitiendo directamente con los objetivos de seguridad e 
introduciendo incertidumbre y riesgo.
Amenazas emocionales
Las amenazas emocionales desafían a las organizaciones porque son lo opuesto a las organizaciones de toma de decisiones racionales y lógicas de las que tienden a 
enorgullecerse. En la industria, las emociones tienden a ser minimizadas en favor de la razón, y las emociones negativas como el miedo, los celos y el arrepentimiento se 
tratan como menos beneficiosas que las positivas como la pasión, la alegría y la esperanza. Casi todas las organizaciones afirman haber conquistado, o al menos 
controlado, el emocionalismo como base para la acción. Algunos incluso pueden haberlo hecho, como comúnmente se atribuye a Warren Buffet. ' s Berkshire-Hathaway, 
que ha adoptado un estilo de inversión sin emociones. Pero la mayoría de las organizaciones solo fingen ser tan fríamente racionales como afirman, cediendo e incluso 
confiando en " inteligencia emocional " a lo largo de sus operaciones. Las emociones pueden convertirse en una amenaza cultural cuando influyen en las decisiones, 
pero la organización niega su papel, lo que las hace inaccesibles para su análisis o mejora.
Miedo, incertidumbre y duda
Conocí a un CISO que una vez admitió libremente, aunque tímidamente, que los requisitos de conducción para su equipo de seguridad debían abordar " lo que sea más
Recientemente me asusté muchísimo en los medios ... " Cada vez que una nueva vulnerabilidad o amenaza llegaba a las noticias, o incluso una nueva solución que podría 
representar un riesgo si la organización no la implementaba de inmediato, entraba en pánico. Las reuniones semanales del estado mayor eran a menudo un ejercicio en el que 
las tropas hablaban con el general lo más lejos posible de la cornisa y luego averiguaban cómo responder a los temores que quedaban y que no podían disipar. El CISO sabía que 
era una mala manera de ejecutar su programa InfoSec, pero por mucho que trató de no dejar que sus emociones lo guiaran, estaba constantemente preocupado por lo que 
podría sucederle a su empresa y a su carrera si uno de sus temores se concretaba y él. no lo había tomado lo suficientemente en serio.
Hoy en dia ' En el mundo en red digital, la cantidad de cosas a las que temer desde la perspectiva de la seguridad de la información se acerca al infinito. En los últimos 
años se han producido ciberataques a gran escala contra algunas de las organizaciones más grandes y conocidas del planeta. Las emociones se disparan y no es de 
extrañar que la combinación de miedo, incertidumbre y duda (FUD) se haya convertido en el principal impulsor de la estrategia de seguridad. Es como si lo emocional y 
lo lógico se hubieran fusionado. En seguridad hoy en día, se le puede etiquetar como irracional por no estar lo suficientemente aterrorizado.
Página 4/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
El problema con FUD como base para la estrategia de seguridad es que hace que las decisiones locas parezcan perfectamente justificadas en el calor del momento. No es un 
problema exclusivo de la seguridad y puede dar lugar a respuestas que cada vez tienen menos sentido a medida que se aleja del momento del pánico. En el Capítulo 2 escribí sobre 
la sensación de derrotismo que creo que se ha convertido en un rasgo cultural dominante en la seguridad hoy en día, y creo que es una amenaza cultural que tiene sus raíces tanto 
en FUD como en los incidentes que vemos que suceden. FUD nos permite resaltar eventos e incidentes de seguridad específicos (deliberadamente no estoy siendo específico aquí - 
buscar " peores incidentes de seguridad " en el último año si está buscando razones para entrar en pánico) mientras ignora todo lo que no ' Ir mal en la economía digital todos los 
días. FUD nos permite mantener el costo de las infracciones cibernéticas (las estimaciones varían ampliamente, pero varios intentos acreditados lo sitúan en el rango considerable 
de $ 300 - 600 mil millones cada año) como evidencia de que necesitamos un " todas las manos en el mazo " respuesta de la industria y el gobierno. Ese ' Ciertamente es un gran 
número, pero elevar la seguridad cibernética tiende a pasar por alto o ignorar los costos de otros desafíos globales que también justifican la adopción de medidas. Un informe de 
McKinsey de 2014, Superar la obesidad: un análisis económico inicial, estima los costos combinados del tabaquismo y la obesidad en más de $ 4 billones anuales (el doble del costo 
estimado de la guerra global, la violencia y el terrorismo), y estos problemas probablemente afecten a más profesionales de InfoSec directamente que las brechas de seguridad. Un 
enfoque racional basado en costos y recursos limitados para abordar los problemas globales parecería implicar que la seguridad de la información puede no ser la máxima 
prioridad. Pero la racionalidad no es la única fuerza que actúa aquí, y eso ' s el punto.
Lógica emocional
La lógica emocional puede parecer contradictoria, pero es una de las razones por las que FUD sigue siendo omnipresente. Es el sentimiento, que alimentamos y alentamos, de que 
estamos tomando decisiones objetivas y racionales cuando en realidad solo estamos haciendo lo que queremos hacer o pensamos que debemos hacer. Recuerde que los procesos 
encubiertos ocurren detrás de la fachada organizacional de la racionalidad. Dado que en las organizaciones se prioriza la razón, todo lo que se va a aceptar debe traducirse al 
lenguaje de la racionalidad. Mi amigo CISO se consoló a sí mismopor el hecho de que estaba enviando a su equipo a cacerías de agachadizas semanales expresando su miedo 
irracional en términos muy razonables de que estaba siendo proactivo. " ¿Qué pasa si somos vulnerables a esto y simplemente no ' ¿Aún no lo sabes? Nosotros ' Todos se alegrarán 
de haberlos hecho tomarse el tiempo para verificar cada uno de los dispositivos de la infraestructura. "
Amenazas psicológicas
Las amenazas psicológicas están estrechamente relacionadas con las amenazas emocionales, y tal vez incluso contribuyan a algunas de ellas. Pero estas amenazas son diferentes en 
el sentido de que se basan en funciones y procesos cognitivos de las personas que las crean. Los investigadores en los campos de la psicología, el desarrollo humano y la economía 
del comportamiento pasan sus carreras tratando de comprender las razones ocultas detrás de las personas. ' s decisiones. Las explicaciones van desde diferentes tipos de 
inteligencia entre individuos hasta diferentes sistemas cognitivos dentro de cada uno de nosotros. Las implicaciones para la seguridad pueden ser profundas, particularmente 
cuando, como en los ejemplos anteriores, el proceso encubierto opera fuera de la vista y fuera de la mente, no disponible para análisis o incluso observación.
Alquimia estadística
Veo un ejemplo de lógica emocional como una amenaza a la seguridad cultural cada vez que trabajo con clientes en sus programas de métricas de 
seguridad. Al comunicar información de seguridad, en particular información sobre amenazas y vulnerabilidades, los CISO y los gerentes de seguridad a 
menudo tienen poco más que las intuiciones de su personal para continuar. Nadie sabe realmente qué tan probable o qué tan grave podría ser un 
incidente, a menos que, por supuesto, esa persona tenga acceso a algún nivel de datos históricos, lo que muchas organizaciones no tienen. La lógica 
emocional puede impulsar el proceso de alquimia estadística al que me referí en el Capítulo 3, donde las opiniones se convierten en números 
reemplazando una mera descripción con una puntuación cuantitativa o una escala. La alquimia estadística puede transmutar mágicamente la pista de la 
pura especulación emocional en el oro mucho más valioso de los hechos científicos. " nuestra puntuación de riesgo es 3,85 " o " nuestra seguridad es 
80% buena. " Por lo general, es casi imposible rastrear cómo se obtuvieron a partir de una descripción de riesgo de " bajo " a un número como " 3,85 " 
dados los datos empíricos disponibles. De hecho, el número probablemente tenga menos sentido incluso para el equipo de seguridad que un simple " 
bajo " alguna vez lo hizo, agregando incertidumbre al análisis de riesgo en lugar de eliminarlo, pero vaya, se ve mucho mejor en un gráfico.
Limitaciones cognitivas
Una amenaza cultural resultante de las limitaciones cognitivas ocurre cuando una estrategia de seguridad particular o un resultado deseado no tiene en cuenta las diferencias en la 
forma en que las personas procesan la información, interactúan con la tecnología, aprenden o adquieren nuevas habilidades profesionales. Las limitaciones cognitivas no son tan 
simples como las diferencias de inteligencia. Pueden ser generacionales, educativos, geográficos o culturales (en el sentido más amplio, así como pertenecientes a la cultura 
organizacional). El rasgo común de la seguridad es que las limitaciones cognitivas casi aseguran que una " talla única para todos "
Es poco probable que el enfoque de la seguridad tenga éxito.
Pensando en la audiencia
Considere un ejemplo educativo de limitaciones cognitivas. Una medida del logro educativo es el nivel de lectura. En 2002 y 2003, la
El gobierno de los Estados Unidos publicó la Evaluación Nacional de Alfabetización de Adultos (NAAL), el estudio más grande y completo sobre alfabetización de 
adultos en los Estados Unidos jamás realizado por el gobierno. Entre muchos hallazgos, el estudio estimó que el estadounidense promedio lee a un nivel de 
séptimo u octavo grado, con menos de una quinta parte de la población logrando " alfabetización completa, " es decir, un nivel de lectura equivalente al de alguien 
que tiene un título universitario. Desde entonces, la estimación se ha utilizado en las pautas para la legibilidad de todo, desde novelas populares hasta manuales de 
funcionamiento de maquinaria, etiquetas e instrucciones sobre productos farmacéuticos. En seguridad de la información, la creación y distribución de políticas y 
pautas son fundamentales como marco y base para los resultados de seguridad deseados.
Las organizaciones gastan colectivamente miles de millones de dólares para redactar políticas de seguridad, publicarlas y, con regularidad, requieren que los usuarios las lean 
como evidencia de que saben lo que se espera de ellos cuando se trata de proteger los activos de información corporativa. Pero, ¿cuánto esfuerzo se pone en
Página 5/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
comprender cuán legibles son estas políticas? Puedo decirles que el esfuerzo no siempre es suficiente, como lo demuestran mis análisis de legibilidad de 
numerosas políticas de seguridad del cliente. En un caso, un cliente se quejó porque tenía un proceso de creación y distribución de pólizas muy costoso y completo 
y, sin embargo, seguía viendo infracciones continuas de la póliza. " Eso ' es como si nadie ni siquiera leyera las cosas, " dijo el CISO. Un análisis de legibilidad 
mostró una explicación potencialmente diferente. Utilizando escalas estándar de legibilidad, la empresa ' Las políticas de s a menudo requerían el equivalente a un 
título de posgrado para leerlas y comprenderlas por completo. Entonces, es posible que todos hayan estado leyendo las políticas de seguridad, pero la mayoría de 
las personas probablemente las encontraron imposibles de entender, y mucho menos cumplir. Considere solo un breve fragmento:
Los empleados tienen la obligación ética, así como legal, de cumplir con los requisitos articulados en esta política. El incumplimiento de los 
requisitos de seguridad obligatorios genera un riesgo y una responsabilidad empresarial importantes. Es responsabilidad de los empleados 
revisar y familiarizarse periódicamente con el contenido y los requisitos de esta política. El no hacerlo puede resultar en consecuencias hasta 
e incluyendo la terminación inmediata de la situación laboral.
Es posible que los gerentes de seguridad no piensen que es un problema que tales políticas estén escritas en dialectos particulares de jerga legal y lenguaje de recursos 
humanos, y luego se difundan a través de plantillas de cortar y pegar implementadas por organizaciones a menudo más interesadas en marcar una casilla de cumplimiento 
que en ayudar a las personas a descubrir lo que necesitan. se supone que debemos hacer. Tal política puede parecer tener sentido racional (usted quiere una que funcione 
como un contrato legal entre los empleados y el empleador). Pero intente hacer que su estrategia de seguridad funcione realmente cuando las personas más responsables 
de implementarla sean también las menos capaces de entenderla.
Diferencias cognitivas
El campo de la economía del comportamiento está en auge. Daniel Kahneman, Dan Ariely y Daniel Gardner (me pregunto qué es un economista del comportamiento
podría hacer del hecho de que muchos de mis expertos favoritos en economía del comportamiento se llaman Daniel …) Todos hemos publicado libros que teorizan 
formas en las que nuestros procesos racionales de toma de decisiones a menudo no son racionales en absoluto. Un tema general entre sus libros es que los seres 
humanos no parecen procesar información o tomar decisiones de la manera simple y lineal que tradicionalmente hemos aceptado. Las decisiones humanas son una 
mezcolanza de actividad cognitiva, algunas deliberativas y lo que reconoceríamos como racionales, y otras que surgen de la correspondenciade patrones intuitiva 
primitiva que parece estar integrada en nuestra biología evolutiva. El resultado es un conjunto de funciones cognitivas diferentes que pueden engañarnos 
enormemente a la vez que proporcionan una sensación casi física (o tal vez real) de certeza y claridad sobre lo que creemos saber.
En seguridad, estas diferencias cognitivas se manifiestan como amenazas culturales con mayor frecuencia cuando se trata de tratar de averiguar el riesgo. Las personas son 
absolutamente terribles para evaluar el riesgo, o incluso para decidir a qué deberían temer realmente. Doug Hubbard, autor de El fracaso de la gestión de riesgos: por qué ' s roto y 
cómo solucionarlo, ha ido tan lejos como para afirmar que el mayor riesgo individual al que se enfrentan la mayoría de las organizaciones es probablemente la forma en que hacen 
su gestión de riesgos, una afirmación que podría sonar tristemente cierta para algunos CISO actuales y anteriores. ' Conozco, sin mencionar algunas instituciones financieras y una 
instalación nuclear o dos.
Amenazas logísticas
Las amenazas logísticas pueden desarrollarse siempre que una estrategia de seguridad no se pueda realizar debido a incompatibilidades con la infraestructura organizativa 
existente. La implementación de una política de contraseñas segura en toda la empresa cuando algunos sistemas son incapaces de manejar contraseñas complejas es un ejemplo. 
Obligar el uso de ciertas tecnologías que son incompatibles con los sistemas heredados es otro ejemplo. Como las otras amenazas culturales que ' Como hemos descrito, es cuando 
los problemas logísticos funcionan como un proceso encubierto que afecta una estrategia racional percibida que se vuelven riesgosos y peligrosos.
Sistemas incompatibles
Los dos ejemplos anteriores tienen que ver con requisitos de imposición de seguridad que entran en conflicto o no son compatibles con los sistemas existentes. En el mundo de la 
auditoría y el cumplimiento, estas situaciones se encuentran con regularidad y han producido el concepto de controles de compensación como una salvaguarda contra los riesgos 
que han sido evaluados y aceptados como necesarios pero que requieren un esfuerzo adicional para su gestión. En otras organizaciones, el problema se maneja mediante procesos 
de excepción que permiten a las personas con (más o menos) buenas razones optar por no cumplir con ciertos requisitos de seguridad. Cualquiera que sea el caso, el resultado es 
que se debe crear un nuevo sistema o sistemas para alinear la estrategia de seguridad con los hechos de seguridad.
Excepciones como regla
He observado organizaciones en las que más de la mitad de los sistemas en funcionamiento ejecutaban configuraciones no estándar, supuestamente violaciones de los 
estándares corporativos de seguridad de los equipos, pero a las que se les habían concedido excepciones de seguridad. Uno se pregunta qué tan racional es una organización ' 
La estrategia de seguridad puede ser cuando seguirla adecuadamente en el despliegue de sistemas tecnológicos realmente lo convierte en la excepción. Sin embargo, esta 
paradoja a menudo puede perderse en la niebla de la seguridad, cuando la lógica de lo que debe hacerse de acuerdo con algún régimen de cumplimiento o el temido " mejores 
prácticas de la industria " abruma la realidad de lo que es realmente posible dentro del medio ambiente.
Resultados incompatibles
Las incompatibilidades de seguridad no solo ocurren con la tecnología, como demostró mi estudio de caso anterior de Clara, la desarrolladora en el Capítulo 2. Los 
resultados mismos pueden estar reñidos entre sí en niveles muy básicos. BYOD y la nube son casos actuales en los que la estrategia empresarial puede chocar 
directamente con la estrategia de seguridad. Cuando las diferencias en la estrategia se gestionan correctamente, se pueden evitar las amenazas. Cuando los resultados 
en competencia (agilidad del mercado frente al control de la seguridad, por ejemplo) no se gestionan adecuadamente, especialmente cuando los desafíos logísticos 
están imbuidos de dimensiones políticas, emocionales y psicológicas, pueden convertirse en una seria amenaza para la seguridad y la organización. ' s negocio.
Página 6/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Tratar la seguridad como un resultado estratégico independiente de otros objetivos organizacionales puede crear una elección falsa, un juego de suma cero en el que cada concesión 
al negocio se considera una pérdida de seguridad y cada capitulación a la seguridad. ' s demandas se considera un golpe a la eficiencia empresarial. Esto no es racional, 
independientemente de las justificaciones y casos comerciales que se hagan de cada lado. La complejidad de hoy ' s organizaciones y empresas significa que nada se puede asegurar 
por completo ni hacer totalmente eficiente. Todo lo que importa es lograr un equilibrio productivo entre las diversas fuerzas, incluidas las fuerzas culturales, que actúan dentro de 
una organización mientras intenta alcanzar sus objetivos. Esto incluye equilibrar el riesgo de seguridad con el riesgo comercial, no solo el riesgo de tener muy poca seguridad, sino 
también los riesgos comerciales que pueden surgir con las infraestructuras de seguridad demasiado restrictivas que obstaculizan a una empresa. ' s agilidad e innovación.
La competencia cultural como fuente de riesgo
El ejercicio de modelado de amenazas culturales descrito en este capítulo nunca será tan sencillo como los sistemas tecnológicos limitados por modelado de amenazas. 
Estos últimos son sistemas complicados, a veces asombrosamente, pero un sistema complicado tiene un conjunto finito de estados y posibles resultados. Teóricamente, 
puede conocerlos todos de antemano, incluidas todas las posibles amenazas asociadas con el sistema. Sin embargo, un sistema complejo produce comportamientos 
emergentes que no se pueden conocer de antemano, pero que se desarrollan fuera del uso y la interacción con otras entidades del sistema. Las posibilidades se 
acercan al infinito. Cuando se coloca en alguien un teléfono inteligente complicado, un conmutador de red o un programa de software ' s manos y luego incorporado a 
un sistema de otras tecnologías y, lo más importante, personas, se convierte en un componente de un sistema complejo. Ya no es posible predecir todas las formas en 
que se utilizará el componente, incluidas todas las amenazas asociadas con él.
Los modelos de amenazas culturales muestran no solo los riesgos que existen entre las amenazas en un sentido tradicional (un actor o fenómeno natural que crea un 
resultado negativo basado en la debilidad del sistema), sino también los riesgos asociados con la interacción legítima y la competencia entre los componentes del 
sistema, particularmente los humanos. partes interesadas. Existe un equilibrio de fuerzas dentro de estos sistemas, y el riesgo para un actor o entidad puede equivaler 
a una oportunidad para otro, creando escenarios donde el fracaso es indeseable y también un resultado natural del éxito en otros lugares. Si los fracasos o los éxitos 
comienzan a dominar de manera desproporcionada, todo el sistema puede comenzar a desequilibrarse y puede experimentar una falla o colapso sistémico más 
general.
La lección del modelado de amenazas culturales específicamente, y la seguridad centrada en las personas en general, no se trata de tratar de enumerar todas las 
amenazas posibles desde o hacia la cultura. Esto es imposible. En cambio, estos modelos de amenazas tratan de controlar las fuerzas en competencia que están 
operando actualmente en cualquier sistema organizacional complejo, para observar sus orígenes y efectos, y para intentar recuperar el equilibrio cuando se 
desplazan peligrosamente hacia un lado o hacia un lado. otro. Es mucho más difícil de hacer cuando algunas o la mayoría de las entidades de amenaza estánoperando como procesos encubiertos que no podemos o elegimos no observar. El riesgo es creado por estas interacciones cuando las personas dicen que están 
haciendo una cosa por una cierta razón, basándose en la lógica y el análisis racional, pero en realidad lo hacen por diferentes razones que pueden no tener nada que 
ver con la objetividad.
Evaluando la competencia
La gestión de riesgos centrada en las personas no se trata de intentar predecir el comportamiento humano, al menos no exactamente. En cambio, se trata de arrojar una luz 
analítica sobre las relaciones organizativas y culturales para descubrir dónde existen procesos encubiertos, comportamientos ocultos y competencia y es posible que sea necesario 
administrarlos y equilibrarlos. Las fuentes de competencia en los programas de seguridad organizacional, los puntos de presión donde los procesos encubiertos producen amenazas 
culturales, incluyen una organización ' s partes interesadas, prioridades y valores.
Partes interesadas en seguridad que compiten
Los interesados son personas individuales y grupos organizados. Un CISO es una parte interesada, al igual que un organismo regulador que define los requisitos de auditoría y cumplimiento 
de TI para una industria. Los interesados en la seguridad de la información no tienen que estar conectados directamente con las operaciones de seguridad. Los usuarios son partes 
interesadas en el sentido de que dependen de la confidencialidad, integridad y disponibilidad de los activos de TI para realizar su trabajo. Los clientes son partes interesadas por la misma 
razón. Las partes interesadas no necesitan preocuparse conscientemente por la seguridad de la información; solo necesitan tener un interés explícito o implícito (una participación) en los 
resultados de las actividades de seguridad. En InfoSec, esto incluye a casi cualquier persona que dependa de la tecnología de la información.
El hecho de que las partes interesadas estén interesadas en la seguridad no significa que apoyen por igual los esfuerzos de seguridad o que tengan los mismos objetivos. Las 
partes interesadas pueden competir entre sí, incluso cuando ambos se dedican a proteger los sistemas y activos de información. Un auditor ' Los objetivos no son necesariamente 
los mismos que los de un gerente de seguridad. ' s. El auditor desea explorar y tal vez exponer tantos problemas de seguridad como sea posible, con el fin de forzar el cambio y 
reducir el riesgo de acuerdo con algún requisito reglamentario o de otro tipo, independientemente de los recursos requeridos. Un gerente de seguridad desea completar con éxito 
una auditoría con un nivel mínimo de tiempo y esfuerzo. Tanto el auditor como el gerente de seguridad quieren una buena seguridad, pero sus ideas sobre lo que eso significa 
pueden competir ferozmente en lo que respecta al resultado final.
Cuando las partes interesadas existen completamente fuera de la seguridad, la competencia puede volverse aún más intensa. Los miembros de una organización 
tienen muchas cosas que les importan, y algunas de esas cosas son más visibles o más importantes que otras. Es posible que deseen agilidad, productividad e 
innovación más que cualquier otra cosa. Los miembros del equipo de seguridad pueden querer que las cosas estén protegidas y sean predecibles. Estas prioridades 
compiten. Un CISO es el actor de seguridad más destacado en una organización, pero como ejecutivo, ese CISO también tiene interés en el crecimiento continuo y el 
éxito de la empresa. Si la seguridad empresarial es demasiado restrictiva, si inhibe demasiado la competitividad o el desempeño del mercado, entonces toda la 
empresa puede sufrir y el CISO habrá fallado tanto como si un incidente de seguridad dañino hubiera causado el problema.
Las organizaciones de hoy son entidades colectivas, pero la burocracia y la especialización profesional han creado una fragmentación en torno a los roles y funciones 
laborales. Las personas tienden a estar capacitadas para un conjunto muy específico de capacidades que definirán sus carreras durante años o incluso décadas. 
Hablamos de profesionales de la seguridad, profesionales de RR.HH. y profesionales de la gestión de proyectos, cada uno con su propio cuerpo de conocimientos, 
requisitos de certificación y cultura de trabajo. Esta especialización tiende a dar como resultado que las personas prioricen los intereses y suposiciones de su estrecho 
campo por encima de los deseos y expectativas de los demás. Esta especialización es necesaria para abordar problemas complejos en la actualidad. ' s entornos 
empresariales, pero contribuye a la creación de feudos y silos que inhiben la visibilidad y coordinación organizacional.
Prioridades de seguridad en competencia
Página 7/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Ya he dedicado varias páginas a las formas en que las prioridades de seguridad pueden competir con las prioridades que no son de seguridad. Pero es importante señalar que 
también existen conflictos dentro de la seguridad. Parte de la razón es que la seguridad de la información se ha convertido en una gran disciplina, con ramas y subcampos, por 
derecho propio. Tanto los gestores de conciencia de seguridad como los administradores de cortafuegos operan dentro del campo más amplio de InfoSec, pero probablemente 
sean tipos de personas muy diferentes. Y es posible que no siempre estén de acuerdo sobre cuáles deberían ser las consideraciones más importantes para la seguridad. La 
educación, la experiencia y las interacciones con la tecnología y otras personas informarán su visión del mundo de formas posiblemente muy diferentes.
Los profesionales de la seguridad también tienen que lidiar con prioridades que pueden no ser bien recibidas por los puristas que desean centrarse exclusivamente en los fundamentos de la 
protección de los activos de información y el cumplimiento de las políticas de seguridad. Los presupuestos y los recursos son principios de seguridad tanto como la confidencialidad, la integridad 
y la disponibilidad. Pocas organizaciones tienen suministros ilimitados, por lo que las cosas que deben hacerse se equilibran con las cosas que deben hacerse, y la lucha es cómo decidir dónde se 
traza esa línea. Los riesgos y las amenazas a menudo pueden ser principalmente un producto de la eficacia con la que un equipo de seguridad asigna sus capacidades limitadas, lo que puede 
explicar por qué algunas organizaciones tienen éxito mientras que sus pares que parecen muy similares fracasan. Lo que a menudo se caracteriza como mala suerte o en el momento oportuno a 
menudo se puede atribuir a una mala gestión de las prioridades en competencia.
Valores de seguridad que compiten
Las prioridades tienen que ver con elegir lo que es importante entre múltiples posibilidades. Los valores se refieren a por qué pensamos que algo es importante en primer lugar. 
Nuestros valores de seguridad impulsan nuestras prioridades de seguridad, pero a menudo por razones de las que somos menos conscientes. Si nuestras prioridades de seguridad 
son la clasificación más o menos racional de nuestras decisiones, nuestros valores de seguridad reflejan más de cerca las suposiciones y sesgos en el corazón de nuestra cultura de 
seguridad. Cuando los valores de seguridad se contradicen, los efectos repercuten en las decisiones y los resultados de toda la organización.
I ' Trabajé con equipos de seguridad que compartían contraseñas de administrador, con organizaciones que se negaban a permitir pruebas de penetración en ciertos 
sistemas clave y en lugares donde la latencia de autenticación requería de 10 a 15 minutos entre el inicio de sesión y el acceso a un sistema crítico para la empresa. En 
todos los casos, las partes interesadas en la seguridad responsables de los sistemas habían equilibrado un valor que consideraban importante (no repudio, visibilidadde las vulnerabilidades y productividad, respectivamente, en estos casos) con un valor de seguridad competitivo. Cada acto de equilibrio introdujo uno o más riesgos en 
el medio ambiente. Pero ninguno de estos casos fue visto como irracional o inaceptable cuando la organización en cuestión lo describió. Es posible que hayan querido 
cambiar las cosas, o tal vez desearon poder ser diferentes. Pero cada uno tuvo que lidiar con el hecho de que el suyo era un mundo imperfecto, " Oye, es lo que es, " me 
dijo un gerente de seguridad, levantando las manos, cuando le señalé suavemente uno de estos conflictos.
Cuando determinados valores de seguridad se aceptan e incorporan, pueden crear un patrón cultural. Se desarrolla una especie de camino de menor resistencia donde algunas 
ideas y propuestas se aceptan más fácilmente y enfrentan menos escrutinio que otras porque resuenan con el patrón. Los patrones pueden convertirse en arquetipos culturales (o 
estereotipos, si lo prefiere), como una personalidad colectiva que anticipa (pero no ' t predecir - después de todo, son personas) resultados probables. Es probable que una 
organización fuertemente regulada con visitas regulares de auditores adopte una mentalidad de cumplimiento, pensando como los auditores a los que responde, hasta que la 
mayoría de las decisiones se filtren a través de la lente de " ¿Cómo afectará esto a la auditoría? "
Un entorno abierto que se basa en el libre flujo de información y el acceso para lograr el éxito puede convertirse en un escéptico de seguridad, interrogando a un CISO 
sobre cada iniciativa propuesta y si el control impedirá o no a las personas. ' s capacidad para hacer su trabajo.
El efecto de valores culturales en competencia se ha estudiado fuera de la seguridad, con la investigación de procesos encubiertos. ' He citado ser solo un ejemplo. Los 
investigadores han utilizado el concepto de fuerzas culturales competitivas como una forma de medir, administrar y transformar la cultura organizacional, guiados por 
la lógica de que si podemos entender por qué nos comportamos de cierta manera, tenemos más posibilidades de cambiar ese comportamiento. Estas teorías y métodos 
se utilizan actualmente en los círculos de la ciencia de la gestión y la consultoría empresarial, y no tengo conocimiento de ningún intento importante de aplicarlos a la 
seguridad de la información. En las próximas secciones del libro, intentaré hacer precisamente eso.
Otras lecturas
norte Ariely, Dan. Previsiblemente irracional: las fuerzas ocultas que dan forma a nuestras decisiones. Nueva York: HarperCollins, 2008.
norte Gardner, Daniel. La ciencia del miedo: por qué tememos las cosas que no deberíamos ' t - y ponernos en mayor peligro. Nueva York: 
Dutton, 2008.
norte Hubbard, Douglas W. El fracaso de la gestión de riesgos: por qué ' s Broken y cómo solucionarlo. Hoboken, Nueva Jersey: Wiley, 2009.
Kahneman, Daniel. Pensar rápido y lento. Nueva York: Farrar, Straus y Giroux, 2011.norte
norte Marshak, Robert. Procesos encubiertos en acción: gestión de las cinco dimensiones ocultas del cambio organizacional. San Francisco: Berrett-
Koehler, 2006.
norte Centro Nacional de Estadísticas Educativas. " Evaluación Nacional de Alfabetización de Adultos. " Disponible en http://nces.ed.gov/ .
Shostack, Adam. Modelado de amenazas: diseño para la seguridad. Hoboken, Nueva Jersey: Wiley, 2014.norte
Página 8/8
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://nces.ed.gov/
	Chapter 4: Cultural Threats and Risks
	Cultural Threat Modeling
	Getting to Know PEPL
	Cultural Competition as a Source of Risk
	Further Reading