Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Seguridad centrada en las personas: transformar la seguridad de su empresa Cultura por Lance Hayden McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción. Reimpreso para Carlos Gonzalez Aspajo, ISACA gonascar@hotmail.com Reproducido con permiso como beneficio de suscripción de Libros 24x7, http://www.books24x7.com/ Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o Se prohíben otras formas sin permiso por escrito. Traducido del inglés al español - www.onlinedoctranslator.com http://www.books24x7.com/ https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution PeopleCentric Security: Transformando su cultura de seguridad empresarial Capítulo 5: El marco de culturas de seguridad en competencia Toda organización que se preocupe por proteger sus activos y sistemas de información. - básicamente todas las organizaciones en la actualidad ' s sociedad en red y digital - tiene una cultura de seguridad de la información. La cultura de seguridad es una faceta de la cultura organizacional general. La mayoría de las organizaciones, de hecho, tienen múltiples culturas de seguridad de la información, reflejos de valores y prioridades locales, y no todos dentro de la organización van a compartir las mismas creencias y suposiciones sobre cómo la seguridad debería funcionar y de hecho funciona. Lo que el equipo de seguridad de la información valora y piensa que es más importante para proteger la organización probablemente será diferente, al menos en grado, de lo que RR.HH. (o Auditoría Interna, o Instalaciones, etc.) valora y piensa que es más importante. En casos benignos, estas características culturales coexisten pacíficamente, sin nunca tener motivos para interferir entre sí. Pero más a menudo, eventualmente compiten. Esa competencia puede ocurrir por recursos, dinero o simples luchas políticas internas. ' s desempeño en materia de seguridad de la información. Para garantizar que las organizaciones desarrollen la cultura de seguridad más beneficiosa, el equilibrio más exitoso de diferentes prioridades y motivaciones, tenemos que comprender mejor la cultura. Las organizaciones deben desarrollar técnicas para traducir los conocimientos generales sobre la cultura en inteligencia procesable. Afortunadamente, existen muchas teorías, marcos y métodos para lograr este objetivo, impulsados por décadas de investigación y práctica en los campos del desempeño y desarrollo organizacional. Propongo mi propia metodología, el Marco de culturas de seguridad en competencia (CSCF), más adelante en este capítulo. Pero el CSCF no se desarrolló de forma espontánea. Lo creé adaptando y ampliando investigaciones anteriores, y vale la pena dedicar un poco de tiempo a comprender esas raíces. Medir la cultura de la seguridad En el Capítulo 3, describí técnicas para medir la cultura a un alto nivel. En particular, me concentré en los datos y análisis cualitativos, que se utilizan comúnmente en el estudio de la cultura y difieren de los datos cuantitativos y los métodos de análisis. Es importante analizar estas diferencias directamente, sobre todo porque los campos de seguridad de la información y seguridad de TI a menudo hacen un mal uso de los términos y conceptos de medición o sufren de una comprensión distorsionada de lo que representan. La medición se trata de comparar más que de contar, y se necesitan diferentes herramientas para diferentes fenómenos. Las herramientas que he desarrollado para medir la cultura de seguridad y fomentar la adopción de comportamientos de seguridad transformadores se basan principalmente en encuestas, con la posibilidad de utilizar entrevistas y métodos más interactivos para ampliar los datos recopilados de la cultura de seguridad. Estas herramientas se utilizan como enfoques de medición tanto cualitativos como cuantitativos. Algunos requieren trabajo manual, mientras que otros pueden automatizarse, según los objetivos y las limitaciones de recursos que tenga una organización. Los exploraremos con gran detalle en capítulos posteriores, pero por ahora es suficiente con familiarizarse con sus orígenes y algunas de las características de los datos que utilizan. Análisis y datos cuantitativos Los datos cuantitativos son, en pocas palabras, aquellos que se prestan a contar. El resultado de un lanzamiento de moneda o el resultado de una tirada de dados son ejemplos simples. Tu altura y peso son dos ejemplos más. Los datos cuantitativos pueden clasificarse en un orden particular, asignarse a categorías específicas o expresarse en unidades estandarizadas. Si bien muchas personas asocian los datos cuantitativos con las matemáticas y los números, los datos cuantitativos pueden ser más o menos matemáticos dependiendo de si son datos nominales, ordinales, de intervalo o de razón. El tipo de datos en cuestión también determina los tipos y la sofisticación del análisis estadístico que se puede realizar. Para explorar más estos cuatro tipos de datos cuantitativos, suponga que trabaja en un centro de datos. Deambulando por su centro de datos, ' Veré muchos ejemplos de los cuatro tipos de datos, como se describe en las siguientes secciones. Datos nominales Al deambular por los racks de equipos en el centro de datos, observa diferentes computadoras de diferentes proveedores. Verá conmutadores, servidores y estaciones de trabajo, por ejemplo. Y es posible que observe productos de Cisco, Dell o HP. Estos son ejemplos de datos nominales, lo que significa que son estrictamente categóricos. Todos los dispositivos que observa son computadoras, pero puede diferenciar entre tipos. También puede notar que cada estante tiene un número. Estos también son datos nominales, ya que cada número representa una etiqueta de categoría, no un valor matemático. Puede contar la cantidad de switches Cisco que tiene, pero puede ' No haga nada estadístico con las categorías mismas. Usted puede ' t agregue Cisco y Dell o encuentre el promedio entre el número de rack 6 y el número de rack 14. Los datos nominales solo sirven para identificar algo como diferente de otra cosa, para nombrarlo, que es donde el término nominal viene de. De manera confusa, los datos nominales a veces se denominan datos cualitativos, que sospecho es donde la industria de la seguridad ' El uso del término se originó dado nuestro uso regular de datos categóricos. Los datos nominales no son menos empíricos o científicos que otros tipos de datos cuantitativos. Pero literalmente no ' t sumar. El análisis estadístico de datos nominales solo ocurre cuando compara datos dentro de las categorías. Puede encontrar que el 90 por ciento de sus servidores provienen de un proveedor, por ejemplo, que puede decirle algo. O puede encontrar que las máquinas en el bastidor número 3 fallan con el doble de frecuencia, lo que podría ser una coincidencia o podría implicar un problema con el gabinete en sí. Datos ordinales Suponga que el equipo del centro de datos está instalando algún equipo nuevo el día en que realiza sus observaciones. Están implementando y configurando tres servidores y comenzaron a trabajar a primera hora de la mañana cuando usted llegó. El primer servidor se completa más tarde esa mañana, el segundo temprano en la tarde y el tercero no ' t terminar hasta tarde esa noche. El orden en que se terminaron los servidores es un ejemplo de datos ordinales, que proporcionan posición y clasificación, pero no mucho más. Sabe que el primer servidor se configuró más rápido que el tercer servidor, pero no cuánto más rápido, al menos no sin recopilar un tipo diferente de datos. Pero incluso la información limitada sobre la posición le permite realizar más análisis estadísticos " fuera de la caja " que con datos nominales. Puede utilizar datos ordinales para determinar algo sobre la tendencia central (definida en la barra lateral próxima), un aspecto importante del análisis cuantitativo. La medida más común de tendenciacentral es el promedio o media. Pero nosotros podemos ' t use la media para los datos ordinales, donde solo tenemos el orden de clasificación (completado primero, segundo y último). los Página 2/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial La diferencia de tiempo entre la finalización del primer y el segundo servidor no es la misma que la duración entre la finalización del segundo y el tercer servidor, por lo que un promedio es imposible con solo las posiciones. Sin embargo, podemos aplicar la mediana a los datos ordinales. La mediana es simplemente el valor ordinal de rango medio, el que tiene tantos valores por encima como por debajo. En nuestro caso, el valor mediano sería 2, representando el servidor que se completó entre el primero y el último. También podríamos usar la moda, es decir, el valor que aparece con mayor frecuencia en los datos, aunque no ' También se aplica a nuestro ejemplo de servidor. Un ejemplo más claro sería una carrera en la que hay un empate a tres por el segundo lugar, pero no hay otros empates. En este caso, la moda sería 2, ya que más personas terminaron en segundo lugar que cualquier otro ranking. Términos estadísticos La estadística tiene su propio idioma. Algunos términos son familiares en nuestra vida cotidiana, pero otros son un poco más desafiantes. Lectores que tienen ' Si ha tomado una clase de estadística por un tiempo, puede beneficiarse de un repaso rápido de los siguientes términos utilizados en este capítulo: norte Tendencia central El grado en el que un conjunto de valores o mediciones se agrupa o agrupa alrededor de algún valor central en un distribución. El ejemplo más conocido de tendencia central es la distribución gaussiana, o curva normal, en la que los valores se agrupan uniformemente alrededor de los valores más centrales. norte Significar Los " promedio " de un conjunto de valores, calculado sumando todos los valores y luego dividiendo ese total por el número de valores presentes. norte Mediana El valor medio en un conjunto de valores, donde el número de valores se distribuye por igual por debajo y por encima del valor mediano. Si tiene un número impar de valores, la mediana es la del medio; por ejemplo, el valor 2 en la secuencia 1 ... 2 ... 3 es la mediana. Si tiene un número par de valores, la mediana es la media de los dos valores medios; por ejemplo, 2.5 en la secuencia 1 ... 2 ... 3 ... 4. norte Modo El valor más frecuente en un conjunto de valores, el que ocurre con mayor frecuencia. Un conjunto de valores puede tener múltiples modos, en el caso de igual número de repeticiones, o ninguna, si ningún valor aparece con mayor frecuencia que otro. Datos de intervalo Al mirar alrededor del centro de datos, observa un termómetro digital en la pared que le indica que la temperatura en el interior es de 80 grados Fahrenheit. Ahora tu ' re recopilar datos de intervalo, lo que le permite considerar en qué medida los valores difieren entre sí. Recuerdas haber leído el exterior temperatura cuando salió de su automóvil esa fresca mañana de otoño y notó que era de 40 ° F. Los datos de intervalo le permiten decir más que simplemente " mas caliente " o " más frío " en una clasificación ordinal. Ahora puede indicar que la diferencia de temperatura entre el interior del centro de datos y el mundo exterior es de 40 ° F. Sin embargo, lo que no puede hacer es afirmar que el interior es dos veces más cálido que el exterior. Ratios como este don ' t trabajar con datos de intervalo, porque carece de un valor cero significativo. Cero en escalas de temperatura como Fahrenheit y Celsius son subjetivos. 80 ° F no es dos veces más caliente que 40 ° F porque puede tener temperaturas negativas. Solo podría hacer tales declaraciones sobre la temperatura si estuviera usando el Kelvin escala, que tiene un valor de cero absoluto. Pero la mayoría de los centros de datos no ' t termómetros deportivos Kelvin. A pesar de no poder llevar una gama completa de técnicas estadísticas a los datos de intervalo, todavía puede hacer bastante. La media, la mediana y la moda funcionan para los datos de intervalo. También puede comenzar a utilizar algunas técnicas estadísticas más sofisticadas, incluida la desviación estándar, en su análisis. Esta es la razón por la que su sistema HVAC en el centro de datos rastrea cosas como en qué medida las fluctuaciones de temperatura difieren de la norma y alerta a alguien si las cosas se alejan demasiado de lo normal. Y puede hacer afirmaciones sobre las diferencias entre los valores de intervalo que no puede hacer sobre los valores mismos. Si mañana es un día más cálido y la temperatura exterior alcanza los 60 ° F, puede indicar que la diferencia de temperatura en el día frío fue el doble de la diferencia de temperatura en el más cálido (40 ° F de diferencia frente a 20 ° F de diferencia). Datos de relación Los datos de proporción son la enchilada completa, por así decirlo. Posee un valor cero verdadero, no arbitrario, una escala continua y unidades estándar. Puede llevar todo el peso del análisis estadístico a los datos de razón, y estos datos son en lo que probablemente estamos pensando cuando pensamos en datos científicos. Para el centro de datos, todo, desde los costos operativos hasta el tiempo de actividad y el rendimiento del tráfico de la red, está representado por datos de proporción. Los datos de razón son cosas que puede contar y comparar en forma de manzanas con manzanas para decir que A es X veces más grande o Y veces más corto o Z veces más caro que B o C. Una cosa que puede llamarte la atención como tú ' Al leer estas descripciones, los equipos de seguridad manejan muchos tipos diferentes de datos cuantitativos, muchos de los cuales probablemente no sean datos de razón. No obstante, dado que los datos de razón permiten un análisis más estadístico, algunas personas pueden verse tentadas a " fabricar " datos de relación de otros tipos. Este deseo puede llevar incluso a los profesionales de la seguridad bien intencionados a caer en la trampa de (gracias de nuevo, Adam Shostack) "Motor a reacción × mantequilla de maní = ¡brillante!" La ecuación de Shostack es una expresión básica en alquimia estadística. Utilizándolo, puede transformar datos nominales u ordinales (alto, medio, bajo) en datos de intervalo y razón (puntuaciones como 3,85 u 80) que luego se pueden dividir y dividir estadísticamente para derivar todo tipo de inferencias imaginarias. El problema no es ' t el método, es ' s los datos. Demasiados programas de seguridad estos días confunden " cuantitativo " con " empírico, " y el valor que aportan sus métricas a la mesa se reduce como resultado. Análisis y datos cualitativos Datos empiricos significa que puede observar lo que sea que esté midiendo. Datos cualitativos, como recordará, se describe más simplemente como cosas que son difíciles de contar directamente. Pero aún se pueden observar, por lo que los datos cualitativos pueden ser tan empíricos como los cuantitativos. Dejar ' Vuelva a nuestro centro de datos para obtener más ejemplos. Al tomar un descanso de sus informes de TPS, observa que sus colegas John y Rachel debaten la calidad de la campaña de marketing para una nueva línea de servidores de alto rendimiento que la empresa está considerando comprar. Rachel odia la campaña de marketing, pero a John le gusta. Rachel tiene un folleto en su escritorio de la reunión de proveedores a la que asistieron ese mismo día. Página 3/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial " Parece un niño ' s dibujos animados, " ella ríe. " ¿Cómo se supone que debo tomarlo en serio? " " No, es ' es una especie de cadera, " John responde. " El proveedor hizo un buen trabajo al no hacer que se pareciera a cualquierotro anuncio corporativo de TI. ¿Qué opinas, Ken? " Conocido ' s sentado dos cubos, absorto en un video de conciencia de seguridad que ' s parte de la empresa ' s Programa de cumplimiento de recursos humanos. Gruñe sin comprometerse, sin mirar hacia arriba. Cada uno de estos artefactos son ejemplos de datos cualitativos. John y raquel ' s conversación, el folleto del proveedor, Ken ' s video de conciencia de seguridad, todos ellos representan cosas observables que se pueden analizar pero no ' t se prestan inmediatamente a contar. Ciertamente, puedes contar cosas sobre ellos, como la cantidad de palabras dichas en John y Rachel. ' s argumento verbal o la cantidad de píxeles en el video de capacitación, pero ¿qué te dicen esos números? Es más probable que encontremos un análisis significativo en Juan ' s comento que el folleto está tratando de diferenciar al proveedor de sus competidores, pero que ' es mucho más difícil de cuantificar directamente. Enfoques cualitativos revisados El Capítulo 3 enumeró varios enfoques de las medidas cualitativas, incluidos los métodos históricos y biográficos, la etnografía, la teoría fundamentada y la investigación-acción. Todos estos son medios por los que los investigadores pueden recopilar y analizar datos cualitativos. Cualquiera de los datos cualitativos que notamos en nuestro ejemplo de centro de datos son posibles objetivos de recopilación. Podrías hacer una transcripción de John y Rachel ' s conversación o solicite copias del folleto y el video de sensibilización. Observar tales cosas en realidad lo convierte a usted mismo en un instrumento de recopilación de datos. Pase un año en el centro de datos y podría escribir un libro sobre sus experiencias allí, como han hecho algunos investigadores. Los marcos y herramientas de medición que presento en este libro se basan en las experiencias de los investigadores cualitativos, pero no dependen ni requieren que usted sea un historiador, etnógrafo o científico social. Señalo los ejemplos de datos cualitativos porque es posible que los encuentre y desee utilizarlos para transformar su cultura de seguridad. Pasamos mucho tiempo en el campo de la seguridad preguntándonos sobre quién, qué, dónde y cuándo. Los datos cuantitativos pueden ayudarnos a descifrar estos misterios. Pero también pasamos mucho tiempo tratando de averiguar cómo y por qué. A menudo, las respuestas a estas preguntas solo se encuentran observando datos cualitativos e interpretando los resultados. Artefactos como datos Lo mejor de usar datos cualitativos para responder preguntas es que te permite expandir en gran medida lo que consideras ser " datos " en primer lugar. Nosotros no ' pestañea cuando un auditor solicita copias de todas nuestras políticas de seguridad para revisar, pero no ' Por lo general, tampoco piense en esas políticas de seguridad como datos científicos. Lo son totalmente, o al menos pueden serlo si se someten a los análisis adecuados. El ejemplo de legibilidad de las políticas de seguridad que utilicé en el Capítulo 4 es un buen ejemplo. Los documentos de política son artefactos producidos por un programa de seguridad. También son datos que pueden revelar cosas sobre ese programa. Al examinar una organización ' En la cultura de seguridad, se puede considerar una gran variedad de artefactos, no solo las políticas de seguridad de la organización. Materiales de concientización sobre seguridad, las actas de las reuniones del personal, el código fuente y los archivos de configuración, incluso el video del CISO ' El programa de capacitación de liderazgo fuera del sitio puede convertirse en datos empíricos producidos por la organización, datos a la espera de ceder conocimientos al tipo de análisis adecuado. Combinando lo cualitativo y cuantitativo Las técnicas para medir la cultura de seguridad en este libro se basarán en dos métodos clave de recopilación de datos: la encuesta y la entrevista. Estas herramientas se utilizan ampliamente en toda la industria, ya que cualquiera sabe quién ha realizado una encuesta de opinión, trabajado en una encuesta de marketing o formado parte de una entrevista de trabajo o un grupo de enfoque. Lo que hace que estas herramientas sean interesantes es que nos permiten observar por medio de un proxy cosas que son intrínsecamente no observables, las cosas que suceden dentro de las personas. ' s cabezas. Los pensamientos, opiniones y valores son cosas reales, pero observarlos es difícil y está sujeto a interpretación. Una de las mejores y más antiguas formas de averiguar qué piensa una persona sobre un tema es preguntarle directamente, y eso es exactamente lo que hace un instrumento de encuesta o una plantilla de entrevista. Estas herramientas don ' Garantiza resultados válidos, lo que significa que es posible que no esté observando lo que cree que está observando. La gente miente, se confunde y se contradice. Pero a menos que seas psíquico, no hay ' t muchas otras formas de observar a alguien ' s pensamientos. Cabe señalar, brevemente, que las industrias de la publicidad y el marketing están experimentando con formas cada vez más sofisticadas de descubrir lo que la gente está pensando (o lo que está haciendo, incluso cuando lo hace inconscientemente). El análisis de sentimientos, los experimentos de publicidad en línea y la investigación de factores humanos contribuyen a dar sentido al comportamiento humano. En algunos casos, estas técnicas son mucho más precisas que las encuestas y las entrevistas, y a veces es aterrador. Pero siguen siendo un esfuerzo interpretativo mediante el cual los investigadores usan proxies para medir lo que no se puede contar directamente (clics de anuncios en línea frente a una persona ' s preferencias reales del producto). El hecho de que los datos cualitativos no puedan contarse en forma cruda no impide que las personas les apliquen enfoques cuantitativos. De hecho, mucha investigación es una combinación de enfoques cualitativos y cuantitativos, a veces denominados Investigación de métodos mixtos. Al identificar y codificar atributos específicos de datos cualitativos, es posible contar cosas, identificar patrones y comparar diferencias. John y raquel ' s argumento sobre la campaña de marketing del proveedor? Bueno, imagina que tenemos una transcripción escrita de todo lo que dijeron y empezamos a buscar patrones repetitivos en el texto. Supongamos que descubrimos que cada tercera o cuarta oración pronunciada por Rachel contiene una comparación explícita entre el folleto de marketing y un folleto para niños. ' s dibujos animados. Entonces podríamos codificar cada uno de Rachel ' s afirmaciones que hacen una comparación favorable o desfavorable. Si descubrimos que de 50 declaraciones comparativas hechas por Rachel en el transcurso del debate, el 90 por ciento fueron desfavorables y contenían palabras como " juvenil, "" inmaduro, " y " no profesional, " podríamos hacer algunas inferencias sobre Rachel ' s sentimientos hacia el anuncio y, posiblemente, hacia los dibujos animados en general. Alguien que conozca a Rachel desde hace mucho tiempo podría decirte que Rachel siempre pensó que los dibujos animados eran tontos. Pero también pueden tener dificultades para " probar " eso, y Rachel incluso podría discutir con ellos. Los datos cualitativos del tipo que acabo de describir proporcionan evidencia empírica de Rachel ' s opinión, evidencia de que puede ser más analizado científicamente a través de la lente del comportamiento observable. Entrevistas Página 4/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Al comparar entrevistas y encuestas, las entrevistas son más cualitativas que las encuestas porque tienden a ser exploratorias y abiertas. Cuando entrevistamos a alguien, simplemente lo dejamos hablar. Podemos estructurar la entrevista para hacer preguntas específicas o enfocarnos en un temaen particular, pero no ' Trate de controlar completamente al entrevistado. ' s respuestas. Lo que obtenemos es una gran cantidad de texto que luego debe analizarse y codificarse en busca de patrones. A partir de estos patrones, podemos interpretar los hallazgos y las percepciones. Si solo tiene una idea general sobre lo que desea saber, realizar entrevistas puede ser la mejor manera de abordar el problema. Suponga que desea saber cómo se siente un empleado al trabajar para la empresa y no ' No quiero incorporar nociones preconcebidas a la mezcla. Un enfoque de entrevista abierta sería simplemente preguntarle a esa persona, " ¿Cómo te sientes trabajando aquí? " El empleado podía decir lo que quisiera, plantear cualquier tema y hablar todo el tiempo que lo considerara necesario. La desventaja es que puede terminar con una gran cantidad de datos que tienen muy poco que ver con el trabajo real en la empresa y mucho más con esa persona. ' s vida individual. Las entrevistas abiertas pueden producir grandes cantidades de datos que luego deben analizarse y eso puede suponer mucho trabajo. Es posible que desee reducir un poco las cosas. Una entrevista semiestructurada o estructurada dividiría la pregunta abierta sobre trabajar en la empresa en subtemas que fomenten respuestas más específicas. Pero esas respuestas permanecerían abiertas, y las respuestas variarían según la persona que respondiera. Encuestas Las encuestas son mucho más específicas que las entrevistas. No solo define la pregunta o preguntas en una encuesta, como " ¿Cómo te sientes trabajando aquí? " pero también define las posibles respuestas. Puede permitir que la persona que completa la encuesta elija entre tres posibles respuestas, " Me encanta, "" Lo odio, " o " I ' Soy neutral al respecto. " O puede ir de otra manera y usar una escala, siendo 1 " me encanta " y 5 siendo " Lo odio. " El punto es que las encuestas se utilizan cuando está menos interesado en explorar algo que no ' Creo que lo sabe, pero quiere descubrir y está más interesado en definir con mayor precisión algo que ya siente que conoce. Debido a que la investigación de encuestas es específica y dirigida, y debido a que utiliza clasificaciones y categorías asignadas previamente en la recopilación de datos, a menudo se describe como un enfoque de medición cuantitativa. Al realizar encuestas, está haciendo preguntas deliberadamente de una manera que le permite contar el número y el tipo de respuestas. Es posible generar preguntas y respuestas de encuestas que sean valores nominales, ordinales, de intervalo o incluso de razón. La parte complicada es que casi todas las encuestas dependen de que el encuestado las responda basándose en su propio conocimiento, con todos los parámetros cualitativos desordenados que esto conlleva. Los datos de la encuesta son empíricos, pero lo que está observando no son los fenómenos que le interesan (¿cuánto dinero gana esta persona en un año?), Sino el encuestador. ' s respuesta a una pregunta sobre ese fenómeno (en realidad hacer menos que esto, pero yo ' Me da vergüenza decir eso, así que ' elegiré una cantidad mayor …). Es una diferencia sutil, pero importante para recordar. Otras formas de describir la cultura Las mediciones cualitativas y cuantitativas forman una base para medir la cultura directamente, a través de diversas herramientas, métodos e instrumentos. Pero es raro ver la cultura expresada en términos de datos, independientemente del tipo. La cultura organizacional es demasiado compleja, demasiado rica y variada como para reducirla a un número oa una sola categoría. En cambio, la cultura organizacional tiende a describirse en términos de historias y metáforas que nos permiten vislumbrar el todo al mirar un modelo, representación o metáfora. Las personas, tanto expertos como legos, han estado desarrollando y utilizando estas herramientas para describir la cultura organizacional durante casi el tiempo que las organizaciones han crecido lo suficiente como para tener sus propias culturas. Arquetipos y estereotipos culturales La gente generaliza sobre otras personas todo el tiempo (de hecho, lo hice yo mismo). Cuando colapsamos la complejidad y la singularidad de un individuo o un grupo en un conjunto general de características o reglas que afirmamos se aplican universalmente, creamos un escribe. Si la generalización es interpretada por otros como mayoritariamente positiva y precisa, o al menos no negativa, la llamamos un arquetipo, un excelente ejemplo de lo que estamos generalizando. Si la generalización es negativa, ofensiva o insultante hacia los generalizados, tendemos a llamarla un estereotipo. Describir algo como un arquetipo implica algo a lo que aspirar o contra lo cual comparar fructíferamente. Los estereotipos a menudo se consideran inexactos y sesgados, y es algo que debe evitarse. En ambos casos, las personas construyen un modelo predictivo basado en atributos que creen comprender. Las culturas organizativas están sujetas al mismo tratamiento. ¿Cuántas veces hemos escuchado a una empresa en particular ser llamada " cultura de la innovación " mientras que otro se llama " cultura de la deshonestidad ”? Al aplicar estas etiquetas, las personas intentan simplificar una construcción muy compleja de personas y relaciones en una única característica definitoria. Las generalizaciones pueden incluso ser precisas, pero esto no viene al caso. Al convertir una cultura en un arquetipo o un estereotipo, se corre el riesgo de introducir más incertidumbre en el análisis de la que se sustrae. Las personas pueden sorprenderlo y, si basa sus predicciones en un solo punto de datos, introduce un solo punto de falla en su evaluación. La generalización puede ser útil si se basa en un análisis racional y si los supuestos inherentes siguen siendo explícitos. Todo modelado y simulación es una forma de generalización. La asignación de tipos puede resultar útil como uno de varios elementos de su análisis. Pero si se convierte en una muleta que te excusa de analizar las cosas, es una receta para el desastre. Esto es especialmente cierto en una cultura multifacética donde la organización tiene varios impulsos en competencia. Alguien que solo ve un rasgo cultural, quizás debido a su papel en el trato con la organización, puede que nunca vea los lados de la cultura que entrarían en conflicto con su punto de vista estrecho y desafiarían sus prejuicios preconcebidos. Marcos y modelos culturales Cuando una generalización se aborda de manera más rigurosa y científica, los arquetipos y estereotipos pueden convertirse en modelos y marcos. Estos modelos y marcos siguen siendo versiones simplificadas de la realidad, sujetas a incertidumbre e imprevisibilidad, pero el esfuerzo que implica formularlos incluye basar las generalizaciones en evidencia empírica y asegurar que los supuestos permanezcan claros y bien articulados. La seguridad tiene muchos modelos y marcos propios, por lo que este enfoque no debería parecer extraño. El ejemplo clásico es el modelo de referencia de interconexión de sistemas abiertos (OSI), con sus siete capas desde la física hasta la aplicación. El modelo es muy simple, muy generalizado. No representa ninguna red existente real. Pero puede usarlo para comprender la funcionalidad de casi cualquier red moderna. Existen numerosos marcos y modelos para elegir al explorar la cultura organizacional. Las culturas de seguridad en competencia Página 5/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Framework, el modelo que propongo y discutiré en este capítulo, está adaptado de uno de los marcos más conocidos en la literatura sobre cultura organizacional. Pero hay otros. Tabla 5-1 enumera brevemente algunos de los modelos y marcos existentes producidos durante las últimas cuatro décadas. Mi punto aquí es que, no solo la cultura es un fenómeno empíricamenteobservable, sino que los científicos organizacionales lo han estado observando el tiempo suficiente para desarrollar modelos de cómo funciona. Tabla 5-1: Marcos y modelos de cultura organizacional Visualizando la cultura Los marcos y modelos no tienen que ser visuales, pero a menudo se prestan fácilmente a la representación visual. La mayoría de los marcos y modelos en Tabla 5-1 se han expresado visualmente en un momento u otro. La visualización nos ayuda a identificar patrones más fácilmente y a dar sentido a las relaciones espacialmente en lugar de verbalmente. Las metáforas nos permiten comprender una cosa relacionándola directamente con algo completamente diferente. La metáfora visual del iceberg del capítulo 3 demuestra el concepto de fuerzas poderosas que actúan por debajo de nuestra percepción consciente. En una era de infografías y técnicas de visualización de datos cada vez más complejas, podemos tener la tentación de pensar en imágenes más simples como menos informativas. Pero la popularidad de la metáfora del iceberg para describir cualquier número de situaciones atestigua su éxito como herramienta explicativa. Muchos modelos visuales de cultura son relativamente simples. El punto no es capturar cada relación o cada matiz de interacción que ocurre dentro de una organización. En cambio, el foco permanece en los flujos primarios de información o influencia, patrones amplios de comportamiento y relaciones internas, y estructura de alto nivel. A diferencia de un modelo para un mecanismo o una estructura física, donde existen componentes estándar, rara vez hay una forma única de lograr algo cuando se trata de interacciones humanas. Los modelos culturales deben lograr un equilibrio, que refleje no solo la realidad, sino también la ambigüedad, para tener éxito. En muchas situaciones, lo simple es mejor, siempre que el modelo no simplifique innecesariamente lo que está sucediendo. El marco de culturas de seguridad en competencia Mi modelo, el Marco de culturas de seguridad en competencia (CSCF), permite a una organización describir e interpretar las diferentes formas en que la organización entiende y practica la seguridad. ' s miembros. Específicamente, el CSCF permite a la organización identificar áreas donde han surgido principios y valores competitivos que pueden representar un riesgo para la organización. ' s metas y objetivos de seguridad. El CSCF se basa en un modelo cultural venerable y bien considerado, Quinn y Rohrbaugh ' s Marco de valores en competencia, que se describió por primera vez en un artículo en Ciencias de la gestión en 1983. Orígenes del CSCF en la investigación de valores en competencia El propósito original del Marco de Valores en Competencia era comprender las características y los rasgos organizacionales más asociados con las empresas. ' desempeño empresarial, qué tan bien lo hicieron en sus industrias y mercados. Utilizando tanto la teoría como los datos de estudios empíricos de diferentes organizaciones, Quinn y Rohrbaugh agruparon los rasgos organizacionales en conjuntos relacionados de valores centrales que crearon culturas específicas dentro de una organización. A medida que descubrieron patrones de comportamiento entre varias empresas en cuestión, los investigadores los mapearon en grupos similares, cada uno de los cuales demostró ciertas áreas de valor y prioridad para una empresa. Estos patrones también revelaron rasgos, valores y prioridades opuestos que eran contrarios a los identificados. Quinn y Rohrbaugh también los mapearon, usando un conjunto de ejes que dividían el Página 6/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial marco en cuadrantes. Quinn y Rohrbaugh encontraron, por ejemplo, que algunas organizaciones, en ciertas industrias, eran más efectivas cuando construían jerarquías y burocracia para enfatizar el control y la estabilidad; Los investigadores encontraron que otras organizaciones lograron un desempeño exitoso manteniéndose flexibles y adaptables, evitando estructuras rígidas de autoridad o función. Asimismo, encontraron que algunas organizaciones tendían a mirar hacia afuera, priorizando clientes y mercados externos para lograr sus objetivos, mientras que otras se beneficiaban de una mirada hacia adentro que valoraba la cohesión e integración internas. El resultado de sus hallazgos fue una metáfora visual de la cultura que dividió los valores organizacionales en cuatro culturas opuestas, que los investigadores denominaron clan, adhocracia, mercado y jerarquía. Figura 5-1 ilustra el modelo del marco de valores en competencia. Figura 5-1: El marco de valores en competencia (adaptado de Quinn y Rohrbaugh) Culturas del clan Como se muestra en Figura 5-1 , la cultura del clan es uno de los cuatro grupos de prioridades y comportamientos organizacionales identificados en el Marco de Valores en Competencia. Las culturas de los clanes están orientadas a la comunidad, valorando el sentido de pertenencia e inclusión. Con un enfoque interno y valorando la flexibilidad, estas organizaciones quieren que todos los miembros participen en el éxito de la organización. Con este fin, las culturas de los clanes ponen mucho énfasis en el desarrollo humano y en compartir tanto la responsabilidad como la recompensa. Adhocracias Las adhocracias, otra agrupación de prioridades y comportamientos organizacionales, son un riff de la idea de un enfoque ad hoc, uno que es flexible y tal vez no permanente, creado como una respuesta específica a un desafío único. La flexibilidad y la agilidad son prioridades y se hacen necesarias debido al enfoque en lidiar con entornos externos caóticos e impredecibles. Las startups y las organizaciones emprendedoras son hoy ' s ejemplos más familiares de adhocracias, pero también existen en organizaciones más grandes y tradicionales que tienen la necesidad de innovar. Culturas de mercado Las culturas de mercado contrastan con las culturas de los clanes, valoran el control estricto sobre el funcionamiento interno de la organización y enfocan los resultados de estos esfuerzos en la organización. ' s entorno externo. Los clientes pueden ser una prioridad clave, pero las culturas del mercado también pueden valorar las relaciones con socios, reguladores, grupos comerciales y accionistas. El desempeño en relación con estas partes interesadas se considera más importante, ya sea que ese desempeño se exprese en términos de ganancias, participación de mercado, productividad o alguna otra medida. Jerarquías Las jerarquías están marcadas por un alto grado de integración y enfoque interno, combinado con un control estricto y estructuras burocráticas diseñadas para garantizar la estabilidad. Todo está organizado y formalizado, regido por claras líneas de autoridad y responsabilidad. En una cultura de jerarquía, el proceso tiende a ser el rey y los roles y responsabilidades se definen a través de políticas y procesos. A diferencia de una cultura de adhocracia, la adaptabilidad es mucho menos importante que la estabilidad y la repetibilidad. Adaptación del marco de valores en competencia a la seguridad El Marco de Valores en Competencia se preocupa principalmente por el desempeño empresarial e industrial de las empresas, ya sea que estén o no Página 7/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial rentables, productivos o que logren aumentar su participación de mercado en relación con sus pares y competidores de la industria. El marco no aborda la tecnología de la información, mucho menos la seguridad de la información. Pero el Marco de Valores en Competencia se ha beneficiado de una gran cantidad de estudio empírico y pensamiento académico a lo largo de los años desde que se desarrolló, y se ha adaptado y aplicadoampliamente a otras áreas. Esta madurez y flexibilidad del marco tiene mucho que ofrecer seguridad centrada en las personas porque ayuda a explicar los conflictos y las prioridades en competencia que a menudo crean riesgos y fallas de seguridad, conflictos que he explorado en capítulos anteriores. La adaptación del Marco de valores en competencia a la seguridad de la información significó que tuve que modificarlo y limitarlo a las preocupaciones específicas de los propietarios de la seguridad y las partes interesadas. En lugar de capturar el amplio espectro de comportamientos y valores que contribuyen al desempeño organizacional general, quería medir y analizar esos rasgos específicos que mejoran o impiden el desempeño de la seguridad de la información en diferentes industrias y situaciones. Pero las ideas originales del Marco de Valores en Competencia aún se aplican, al igual que la estructura de cuadrantes del modelo. El CSCF los reorienta y reconfigura en un modelo de seguridad centrado en las personas, que se ilustra en Figura 5-2 . Figura 5-2: El marco de culturas de seguridad en competencia El CSCF usa el mismo modelo de dos ejes que el Marco de Valores en Competencia, pero lo aplica a la forma en que InfoSec piensa. El primer eje representa el grado de control de seguridad valorado por la organización. El segundo eje del CSCF representa el continuo de enfoque entre los entornos internos y externos. Grados de control Control significa la medida en que la organización intenta dirigir, restringir o influir en el comportamiento de las personas y los sistemas que contiene. El grado de control existe como un continuo que va desde un control estricto, que representa un máximo de estabilidad y estandarización en toda la organización, hasta un control suelto, en el que la seguridad puede estar distribuida o sujeta a variabilidad en términos de proceso y visibilidad en toda la organización. El eje resultante refleja un conjunto de valores en competencia que se encuentran entre el deseo de hacer que la seguridad sea más eficaz mediante la promoción de un entorno ordenado y confiable, y el deseo de hacer que la seguridad sea más eficaz fomentando un entorno situacional flexible. En los programas de seguridad, el control generalmente se impone a través de combinaciones de autoridad centralizada, burocracia establecida, jerarquías definidas y políticas y procedimientos estandarizados que definen comportamientos y actividades aceptables. El grado de control sobre la seguridad está implícito y operacionalizado por muchos factores, incluido el tamaño del equipo de seguridad y los recursos disponibles para ellos; patrocinio y apoyo ejecutivo, incluido si un CISO lidera o no el programa como parte del equipo ejecutivo; y la presencia y aplicación de políticas y estándares específicos de seguridad en toda la organización. usted ' lo notaré en Figura 5-2 que alteré el diseño espacial original del Marco de Valores en Competencia, invirtiendo el eje de control para que el control estricto esté en la parte superior en lugar de en la parte inferior del modelo. El resultado es que las culturas de seguridad que priorizan un mayor control sobre las actividades de seguridad ahora están representadas en los dos cuadrantes superiores. En mi experiencia, la seguridad en general es una cultura centrada en el control. El cambio de posicionamiento espacial refuerza este énfasis. Figura 5-3 muestra varias características a medida que uno se mueve a lo largo del eje de control. Página 8/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Figura 5-3: Características a lo largo del eje de control Enfoque interno frente a externo El enfoque interno o externo determina si la organización se ocupa principalmente de comprender y gestionar la seguridad como una función de la propia organización, o si se preocupa principalmente de comprender y gestionar la seguridad como una función de sus relaciones con entidades externas a la organización. Las entidades externas pueden incluir clientes, socios, reguladores, los medios de comunicación e incluso entidades de amenaza como piratas informáticos y otros adversarios. En un programa enfocado internamente, la seguridad se considera efectiva si el resultado es un programa coherente y cohesivo para proteger a la organización. ' s activos de información. Los programas de seguridad enfocados internamente buscan una alineación en toda la empresa, donde la seguridad es compatible en toda la organización. ' s funciones operativas. Esto puede incluir organizaciones donde el equipo de seguridad es responsable de establecer la dirección y la política para toda la organización. ' s seguridad de la información y quizás incluso su seguridad física, incluida la definición de estándares, la gestión de tecnología y la creación de estrategias. Los programas de seguridad enfocados externamente consideran que la seguridad es efectiva cuando da como resultado relaciones exitosas entre la organización y entidades externas. Este enfoque externo crea una preocupación por cumplir con las obligaciones contractuales y regulatorias; para proteger datos protegidos; y para evitar fallas de seguridad que pueden resultar en pérdida de reputación, participación de mercado o capacidad para realizar negocios. El logro de estos objetivos puede requerir una diversificación de la responsabilidad y la autoridad de seguridad (por ejemplo, a través de entornos regulatorios o tecnológicos) con el fin de satisfacer las diversas necesidades de componentes específicos y entidades externas. Figura 5-4 muestra características a medida que uno se mueve a lo largo del eje de enfoque interno-externo. Página 9/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Figura 5-4: Características a lo largo del eje de enfoque Los cuadrantes CSCF Los cuadrantes específicos de seguridad del CSCF se ilustran en Figura 5-5 , que también muestra más detalles sobre los componentes y valores inherentes a cada tipo de cultura de seguridad. Cada uno de los cuadrantes representa una agrupación de valores, suposiciones y prioridades que influyen y dan forma a las decisiones y actividades de seguridad dentro de una organización. Estos tipos de cultura de seguridad incluyen una cultura de proceso, una cultura de cumplimiento, una cultura de autonomía y una cultura de confianza. Figura 5-5: El marco de culturas de seguridad en competencia con detalles ampliados Valores superpuestos y en competencia El modelo de cuadrante del CSCF parece muy ortogonal cuando lo mira por primera vez, con ángulos rectos que crean características culturales independientes. Esta visualización tiende a oscurecer la forma en que los dos ejes crean valores superpuestos anclados en diferentes perspectivas sobre Página 10/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial control y campos de enfoque. Las relaciones diametralmente opuestas como las que existen entre el proceso y la autonomía son más fáciles de ver, pero también hay conexiones y valores compartidos en las cuatro culturas. Figura 5-6 representa el CSCF como círculos concéntricos que ilustran mejor estos rasgos superpuestos. Las culturas de procesos y de confianza, por ejemplo, pueden parecer no tener mucho en común, hasta que uno se da cuenta de que ambas están preocupadas de manera central por cómo la organización funciona internamente como una estructura coherente. Las Culturas de Proceso y Cumplimiento, para usar otro ejemplo, parecen naturalmente congruentes cuando se piensa en la seguridad de la información, con su énfasis conjunto en el control. Pero lasculturas de cumplimiento y autonomía no parecen tener tanto sentido juntas, al menos no hasta que se reconozca el valor mutuo que estas culturas asignan a abordar desafíos asociados con la organización ' s entorno externo, no su funcionamiento interno. Figura 5-6: Vista circular del marco de culturas de seguridad en competencia Limitaciones del marco El destacado estadístico George Box escribió una vez: " Básicamente, todos los modelos son incorrectos, pero algunos son útiles. " Mi esperanza es que el CSCF ayude a las organizaciones sirviendo como una herramienta útil para lograr una seguridad centrada en las personas. Pero es igualmente importante reconocer sus límites. El CSCF no pretende describir o explicar completamente todas las organizaciones ' s cultura de seguridad. En cambio, el CSCF está destinado a ser una herramienta para el aprendizaje y la exploración, un método mediante el cual las personas que trabajan dentro del contexto de una organización ' La cultura de seguridad puede aprender más sobre esa cultura, asignarle términos y conceptos e identificar áreas de riesgo que surgen cuando las prioridades y valores de seguridad se oponen entre sí. Los investigadores de la cultura organizacional comprenden lo difícil que es medir o analizar algo tan complejo como las creencias y relaciones compartidas de un gran grupo social. Sin un lugar para comenzar, sin algún método para simplificar la complejidad de la transformación cultural para lograr estrategias viables, es probable que no se avance. Algunos críticos se quejan de que esta simplificación hace que el modelo sea inútil para los análisis del mundo real. Aprecio la renuencia a simplificar demasiado, que es un comportamiento de seguridad central que discutiré más adelante en el libro, pero todos los modelos son simplificaciones por necesidad. Nadie espera que una maqueta de un avión en madera de balsa vuele como si fuera real, o que una maqueta arquitectónica sea un edificio real y habitable. Para estos fines, los modelos están equivocados. Sin embargo, siguen siendo útiles, utilizados por ingenieros y arquitectos en todas partes para comprender en una escala más pequeña las cosas que construyen en una grande. ¿Por qué no utilizar simplemente el marco de valores en competencia? En las décadas transcurridas desde su creación, el Marco de valores en competencia se ha adaptado ampliamente y se han desarrollado varias técnicas para medir cómo se compara una organización con el marco. Herramientas específicas como Daniel Denison ' s Encuesta de cultura organizacional y Kim Cameron y Robert Quinn ' s Instrumento de evaluación de la cultura organizacional Utilice encuestas para ayudar a las organizaciones a determinar dónde encajan en relación con los cuadrantes del Marco de valores en competencia. Los datos que estos instrumentos recopilan con respecto a los valores y normas culturales se asignan luego a los diversos atributos culturales del marco, produciendo perfiles de la cultura organizacional general. Pero, ¿por qué construir un nuevo marco centrado en la seguridad? ¿Por qué una organización no solo usaría el Marco de Valores en Competencia directamente para medir la cultura de seguridad, dado que ya existen herramientas de evaluación disponibles que se basan en él? Algunas de estas herramientas, como Cameron y Quinn ' s OCAI, han sido implementadas por cientos de organizaciones que buscan comprender su cultura y su vínculo con el desempeño comercial, la posición en el mercado y la competitividad de la industria. Eso ' Es una pregunta legítima preguntarse si los equipos de seguridad que desean cambiar la cultura deberían utilizar un marco cultural existente como punto de partida. La cultura de seguridad se beneficia de un enfoque dirigido Página 11/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial La respuesta tiene que ver con la especificidad y la precisión. La seguridad de la información es un proceso empresarial, como cualquier otro. Pero al igual que otros procesos comerciales, se especializa en un subconjunto de la organización en general. ' s funciones. Hay muchos aspectos únicos de la seguridad que son diferenciadores legítimos entre nuestra industria. ' s actividades y objetivos y los de RR.HH., Marketing o incluso diferentes partes de TI. Estas diferencias se manifiestan en el lenguaje y los términos que usamos, los enfoques que adoptamos y los resultados que buscamos. Muchas de estas diferencias tienen un impacto directo en la efectividad potencial de usar un marco de cultura organizacional general para evaluar la cultura de seguridad. En el CSCF, he adaptado el Marco de Valores en Competencia de una manera que mantiene los constructos teóricos centrales del modelo, es decir, los impactos en el desempeño que ocurren cuando diferentes culturas persiguen diferentes objetivos en la competencia. Pero he remodelado y reorientado el Marco de Valores en Competencia en el CSCF para abordar específicamente áreas de preocupación para los CISO y las partes interesadas en la seguridad, para usar un lenguaje que esté más alineado con las preocupaciones de los programas de seguridad y para iluminar los comportamientos y valores que los equipos de seguridad tienen. más a menudo asociado con. Sin embargo, muchos de los rasgos y comportamientos descritos por CSCF serán reconocibles para otras partes del negocio que no sean de InfoSec. Esto tiene sentido porque la seguridad sigue siendo un proceso empresarial que aporta valor empresarial, o al menos debería considerarse como tal. No todo en el marco de valores en competencia se traduce bien Apuntar a los rasgos y valores que informan y dan forma a las prácticas de seguridad de la información permite que surja una imagen más precisa de la cultura de seguridad organizacional, basada en aquellos elementos que los propietarios de seguridad pueden comprender y, por lo tanto, comunicarse mejor con otras partes interesadas del negocio. Las personas que no son de seguridad lucharán con un modelo de cultura que requiere una traducción continua entre el desempeño en términos generales y el desempeño de la seguridad de la información. Es mejor realizar esa traducción por adelantado, como parte del modelo, como lo hace el CSCF. Considere la cultura de adhocracia del Marco de Valores en Competencia. Esta cultura, más prevalente en startups y otras empresas que operan en entornos de intensa competencia y mercados volátiles, valora la independencia agresiva y una mayor tolerancia al riesgo, ejemplificado en el lema de Silicon Valley. " Muévete rápido y rompe cosas. " La mayoría de los profesionales de InfoSec nunca considerarían la velocidad y la disrupción como un buen modelo de seguridad, pero las culturas de adhocracia sienten que estas cosas son esenciales para su éxito. Una traducción directa de la adhocracia a la seguridad de la información no ' no existe. Pero la idea de autonomía y silos de la autoridad de seguridad, de lograr un equilibrio entre el control y la flexibilidad dentro de la empresa, es algo que todo CISO reconoce y debe afrontar. El CSCF permite a las organizaciones poner en primer plano los valores y prioridades de la seguridad y orientarlos hacia tipos de cultura de seguridad, al tiempo que preserva el espíritu del modelo en el que estas culturas compiten por recursos, aceptación y dominio en un mercado organizacional competitivo de ideas. El CSCF ilustra estas culturas a un alto nivel. Discutiré cómo diagnosticar y evaluar la fuerza de los cultivos de CSCF en el Capítulo 6. Por ahora, ' s explorar estas culturas con más detalle. Culturas de seguridad organizacional Los cuatro cuadrantes espacialmente opuestos del CSCF representan enfoques culturales distintos a la seguridad de la información. Cada cuadrante representa una cultura de seguridad distinta, aunque ninguna organización tendrá solouna de estas culturas presente. Algunas culturas pueden ser más fuertes, incluso predominantes. Pero todas las organizaciones son una mezcla de culturas, no solo como un todo, sino en términos de diferentes subunidades dentro del todo. Las cuatro culturas son generalizaciones, modelos dentro de un modelo, y exploraré los matices de cada una en esta sección. Cultura de proceso Una cultura de proceso valora un control estricto combinado con un enfoque orientado hacia el interior. Las culturas de procesos ven su éxito con mayor frecuencia en términos de qué tan bien se gestionan y coordinan las operaciones de seguridad, qué tan estable y confiablemente funcionan las operaciones. Desde una perspectiva teórica, el concepto de coordinación gestionada es primordial en la cultura de procesos. La seguridad se considera una función de toda la organización que debe centralizarse y controlarse para garantizar que se realice correctamente en todas partes, por todos y de la misma manera. Una característica clave de la Cultura de Procesos es la creación de burocracia para administrar las actividades de seguridad de la información. Burocracia, En resumen, es un sistema de gestión en el que los profesionales especializados actúan de acuerdo con reglas aceptadas para lograr los objetivos. La palabra " burocracia " ha cambiado de significado a lo largo de los dos siglos desde que se acuñó, pero su uso siempre ha estado acompañado de connotaciones negativas. Hasta que el sociólogo alemán Max Weber no comenzó a estudiar científicamente la burocracia a principios del siglo XX, la idea no se rehabilitó de alguna manera. En Weber ' Desde el punto de vista, la burocracia era necesaria para que la sociedad funcionara eficazmente en un mundo moderno que se había vuelto demasiado complejo para lograr sus objetivos mediante los esfuerzos de individuos y grupos pequeños sin habilidades y capacitación únicas. La seguridad, junto con la mayoría de las otras funciones organizativas, también se ha vuelto demasiado grande y compleja para que una sola persona pueda hacer el trabajo. La especialización ha llevado a una variedad de roles relacionados con la seguridad, incluidos el técnico, el operativo y el gerencial. Para coordinar y optimizar estos recursos dispares, las organizaciones crean estructuras jerárquicas, incluidas familias de puestos y organigramas, para segmentar actividades y áreas de responsabilidad. Estos roles y especialidades desarrollan sus propios cuerpos de conocimiento y caminos para el avance, todos regidos por procesos definidos y estándares de comportamiento. Valores fundamentales de la cultura del proceso Los valores fundamentales dentro de una cultura de procesos se desarrollan a partir del deseo de mantener las cosas funcionando sin problemas y de manera predecible, e incluyen norte Estabilidad Asegúrese de que la organización mantenga sus funciones y estructuras existentes a lo largo del tiempo. Cambio, especialmente cambios no planificados, es perjudicial y debe evitarse o gestionarse con mucho cuidado. norte Visibilidad Asegúrese de que la organización comprenda cómo funciona y pueda rastrear o predecir los resultados fácilmente. Ceguera y puntos ciegos no regidos por procesos establecidos representan incertidumbre y riesgo. Página 12/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial norte Estandarización Asegúrese de que todas las operaciones se gestionen de acuerdo con reglas formalmente establecidas, bien comprendidas por todos los miembros. La libertad individual crea excepciones y discrepancias que deben gestionarse, degradando la eficiencia operativa. Una directriz cardinal de la Cultura de Procesos podría enunciarse como hacer cumplir la política. En mis experiencias de consultoría, " politica de seguridad " se ha convertido en una especie de metáfora del conjunto de reglas que gobiernan la organización ' s actividades de seguridad, desde la política de uso aceptable de más alto nivel hasta las complejidades de las reglas de firewall y el ajuste del sistema de detección de intrusiones (IDS). Hacer cumplir la política implica hacer cosas de la organización ' a su manera, sometiéndose a controles y restricciones, y de ese modo asegurando que se cumplan los objetivos de la organización. Ejemplos de cultivos de proceso En más de 25 años de trabajo en InfoSec, me he encontrado con muchas organizaciones donde domina la Cultura de Procesos, comenzando con mi primer trabajo como oficial de operaciones en la Agencia Central de Inteligencia. El gobierno de los Estados Unidos es quizás un epítome de la cultura de procesos. La comunidad de inteligencia de Estados Unidos es aún más intensa, especialmente cuando se trata de seguridad. La clasificación, la compartimentación y las jerarquías organizativas profundamente arraigadas no eran solo la norma, eran mi vida. En mi carrera desde entonces, he visto culturas similares en otras agencias gubernamentales con las que he trabajado, ya sea a nivel federal, estatal o local. Esto tiene mucho sentido si se considera que Max Weber ' s trabajo se basó en gran parte en el crecimiento de las administraciones civiles a medida que los estados-nación se modernizaron. El gobierno fue, por así decirlo, uno de los primeros en adoptar la burocracia, una innovación que se necesitaba urgentemente, ya que se esperaba que los estados administraran, brindaran servicios y controlaran mejor a sus ciudadanos. Una de las Culturas de Procesos más dominantes que he encontrado desde que me incorporé al sector privado fue la industria minorista. Esta empresa tenía un procedimiento para todo lo relacionado con la seguridad, todo ejecutado como parte de un programa altamente centralizado bajo un CISO poderoso y agresivo que era considerado un miembro igual de la empresa. ' s personal ejecutivo. La cultura de la seguridad reflejaba la cultura corporativa, donde todo lo hacía, literalmente, el " libro " de las políticas y estándares que existían para administrar las tiendas, oficinas corporativas e incluso contratistas y socios que trabajaban con la firma. La fuerte Cultura de Procesos del programa de seguridad no fue ni buena ni mala en general, pero funcionó en el contexto más amplio de la empresa. La gente entendía las reglas y los estándares y esperaba que el programa de seguridad funcionara de la misma manera. Las firmas financieras, las empresas manufactureras y las empresas de servicios públicos también tienden a exhibir fuertes características de una Cultura de Procesos. Cultura de cumplimiento Las culturas de cumplimiento, como las culturas de procesos, valoran el control estricto sobre la organización. ' s actividades de seguridad. Pero cuando una Cultura de Procesos aplica ese control para propósitos internos, la Cultura de Cumplimiento se enfrenta al exterior y ve el éxito de la seguridad con mayor frecuencia en términos de qué tan bien soporta las relaciones entre la organización y las entidades externas. En la cultura de cumplimiento, la seguridad beneficia a la organización en la medida en que aborda las preocupaciones de otras partes interesadas, ya sean clientes cuyos datos gestiona la organización, reguladores que buscan controlar la conducta de ciertos tipos de negocios o incluso piratas informáticos que buscan un objetivo. . La perspectiva teórica que mejor describe este enfoque es metas racionales. La seguridad es un objetivo porque ayuda o impide la capacidad de otros para alcanzar sus objetivos, no porque la organización la valore de forma independiente. Una cultura de cumplimiento está impulsada por demandas externas a la organización. En los últimos años, las normativas y los marcos de seguridad - incluyendo ISO 27001, el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de portabilidad y responsabilidad del seguro médico (HIPAA), la Ley de tecnologíade la información médica para la salud económica y clínica (HITECH), la Ley federal de administración de seguridad de la información (FISMA), y una serie de otros regímenes globales - han desempeñado un papel cada vez más importante para los programas de seguridad de la información y los CISO. El número y la gravedad cada vez mayores de los incidentes de seguridad, y la cobertura de los medios y el escrutinio público que producen, contribuirán poco a reducir esta tendencia. En todo caso, las organizaciones pueden esperar un aumento en el enfoque regulatorio en los próximos años, junto con la posibilidad de pérdida de mercados y clientes en caso de una infracción importante. Las culturas de cumplimiento están profundamente preocupadas por garantizar que sus organizaciones naveguen por estas aguas turbulentas de manera segura. Valores fundamentales de la cultura de cumplimiento Los valores fundamentales dentro de una cultura de cumplimiento reflejan la inseguridad y la necesidad percibida que rodea la rendición de cuentas a la organización. ' s partes interesadas externas, incluidas norte Conformidad Asegúrese de que la organización cumpla con las expectativas y los requisitos establecidos por otros, a menudo reflejándolos requisitos internos. La uniformidad dentro de la organización puede no ser una prioridad, pero la organización debe ser capaz de satisfacer todas las demandas de partes interesadas externas específicas. norte Repetibilidad Asegúrese de que la organización pueda reproducir procesos y resultados bajo demanda. Situaciones en las que las operaciones no producir los resultados esperados son fallas peligrosas. norte Documentación Asegúrese de que la organización mantenga evidencia de que está cumpliendo con sus obligaciones y las expectativas de los demás. Los procesos operativos que no se puede probar que funcionan como sanciones de riesgo requeridas de cualquier persona en posición de hacer responsable a la organización. Una directiva cardinal de la cultura de cumplimiento se puede expresar como pasar auditorías. Las auditorías no son solo evaluaciones planificadas, estructuradas realizadas o exigidas por un tercero interesado. Varios teóricos de la organización consideran que las fallas no planificadas del sistema son, en palabras de Karl Weick, " auditorías brutales. " Una brecha de seguridad revela debilidades y controles de seguridad deficientes exactamente de la misma manera que lo hace una auditoría, solo que con mucho más estrés y consecuencias más graves. Las pruebas de penetración y la formación de equipos rojos evolucionaron a partir de este entendimiento de que era mejor someter a la organización a un ataque controlado que esperar al incontrolado. Entonces pasar auditorías se trata tanto de la respuesta exitosa a un ataque de seguridad real como de apaciguar su QSA durante una auditoría de PCI. Ejemplos de culturas de cumplimiento Página 13/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial Las culturas de cumplimiento son más frecuentes, como puede imaginar, en industrias altamente reguladas. He visto culturas de cumplimiento sólidas en la industria de los seguros y en las organizaciones de atención médica. Pero desde una perspectiva de seguridad de la información, PCI DSS ha sido el impulsor más influyente de la cultura de cumplimiento, por varias razones. Primero, PCI DSS tiene un alcance real y dientes inequívocos. Las organizaciones que desean procesar datos de tarjetas de crédito, y muchas lo hacen, deben cumplir con PCI DSS o de lo contrario no lo hacen. ' obtener el privilegio. En segundo lugar, PCI DSS tiende a ser altamente prescriptivo, lo que significa que el estándar en realidad le dice específicamente lo que tiene que hacer. Muchos regímenes regulatorios describen principios de seguridad de alto nivel y acciones generalizadas que deben realizarse, pero permanecen abiertos a muchas interpretaciones. HIPAA / HITECH es un gran ejemplo aquí, ya que la regulación de seguridad y privacidad de la atención médica está destinada a aplicarse a una gran cantidad de organizaciones muy diferentes y debe ser más flexible que el enfoque del rayo láser de PCI DSS. Finalmente, la naturaleza comercial de PCI DSS - un marco regulatorio diseñado por empresas, principalmente para empresas, con un ecosistema de otras empresas que lo respaldan - hace que el cumplimiento parezca más fácil de entender e implementar para las organizaciones corporativas. Pero PCI DSS es interesante porque las mismas cosas que la hacen influyente pueden trabajar juntas para formar una especie de trampa en la que caen muchas organizaciones, una que dice algo sobre la cultura de cumplimiento en general. PCI DSS se presta a lo que algunos en la industria de la seguridad, incluido yo mismo, llaman " cumplimiento de casilla de verificación. " Si bien una buena seguridad casi siempre equivale a un buen cumplimiento, convirtiéndose en una cuestión de traducir un programa de seguridad al idioma del auditor que lo esté revisando, un buen cumplimiento no necesariamente equivale a una buena seguridad. Varias de las infracciones más importantes de los últimos años han involucrado empresas, e incluso sistemas, que fueron certificados como compatibles con PCI DSS. Solo porque una organización puede aprobar una auditoría tradicional, en la que una entidad (en su mayoría) amiga le pregunta a la organización si ha hecho lo que se suponía que debía hacer, los adversarios llevan a cabo una auditoría brutal en forma de ataque. ' Me importa un carajo si ha marcado todas las casillas correctas. Las culturas de cumplimiento a menudo se superponen con las culturas de proceso, ya que muchos de los beneficios de una se aplican a la otra. Pero la diferencia entre las culturas es esa área de enfoque, que puede ser una fuente de conflicto y riesgo cultural. Si las culturas de procesos corren el peligro de ineficiencias burocráticas en nombre de operaciones de seguridad coherentes, las culturas de cumplimiento corren el riesgo de perder de vista el panorama general de la seguridad al centrarse en los mandatos individuales que se les imponen desde el exterior. Cultura de la autonomía A primera vista, la Cultura Autonómica puede parecer poco compatible con la seguridad de la información. Y si tuviera que realizar un estudio que espera encontrar menos culturas de seguridad donde la autonomía es la cultura dominante, al menos en el papel, no se sentiría decepcionado. La mayoría de los profesionales de la seguridad consideran irracional y peligrosa la idea de permitir que todos los miembros de la organización decidan por sí mismos qué nivel de seguridad funciona mejor. Pero mira más de cerca y empiezas a ver que la pregunta es más compleja. La seguridad a menudo está reñida con otras partes del negocio, a veces incluso con ella misma. La crítica de los programas de seguridad como " los ' no ' equipo, no el ' ir ' equipo " refleja la sospecha que algunas personas tienen de que la seguridad puede hacer al menos tanto daño como bien, protegiendo a la organización a costa de la velocidad, la eficiencia y el progreso. Las culturas de autonomía exhiben un control menos centralizado al mismo tiempo que miran hacia afuera de la organización. La base teórica de la cultura es la de sistemas adaptativos, en el que las personas, los procesos y la tecnología pueden remodelar y reorientarse según sea necesario para hacer frente a los cambios en su entorno. La idea es que los más cercanos a una situación tengan una mejor conciencia de lo que está sucediendo y de lo que se requiere. La lógica dicta que también deben tener el poder de actuar sobre esa percepción situacional única. El resultado es una organización que puede responder en parte sin requerir cambios similares, o incluso, en ocasiones, la participación del conjunto. Autonomía Las culturas en seguridad,debería decirse, no son " todo vale " Ambientes. Nunca, al menos en la última década, me he encontrado con una organización que creyera que la seguridad no era importante en absoluto. Pero he trabajado con muchas organizaciones para las que la seguridad es un compromiso, un compromiso más o menos equilibrado no solo entre cerrar las cosas y abrirlas, sino entre la necesidad de un control centralizado y la conciencia de la situación local. Existen muchas razones para eliminar la autoridad y la responsabilidad de seguridad, para distribuirlas en toda la organización. A veces, esto es un reflejo de una estructura corporativa que tiene muchas divisiones autónomas o semiautónomas. En otras ocasiones, la federación se produce debido a necesidades más operativas o del mercado. Valores fundamentales de la cultura de seguridad autónoma Los valores centrales dentro de una Cultura de Autonomía surgen de la necesidad de gestionar diferentes niveles de seguridad, por diferentes razones, en diferentes lugares, e incluyen norte Flexibilidad Asegúrese de que la organización responda a eventos y entornos cambiantes. El cambio inesperado es inevitable y en realidad representa una oportunidad para quienes pueden adaptarse. norte Agilidad Asegúrese de que la organización se mueva de manera rápida y eficiente para aprovechar las oportunidades. Perder el tiempo debatiendo opciones o lidiar con la burocracia corre el riesgo de sacrificar las ventajas de ser el primero en actuar. norte Innovación Asegúrese de que la organización no solo reaccione al cambio, sino que lo cree, descubriendo nuevas formas de mejorar antes de que lo hagan los competidores. Las mejores ideas provienen de lugares inesperados, de pensadores avanzados individuales, y prohibir la experimentación es cortejar la obsolescencia. Una directriz cardinal de la Cultura Autonómica podría resumirse como tener resultados. Una organización en un entorno altamente volátil y competitivo puede literalmente enfrentarse a la extinción si no logra ser innovadora, adaptable y ágil, características todas que un programa de seguridad con aversión al riesgo puede impedir. Una falla debido a enfoques de seguridad demasiado cautelosos puede ser tan mortal como una falla que se produce como resultado de una infracción importante. Hoy en día, muchas empresas de redes sociales y nuevas empresas de tecnología se enfrentan exactamente a esta paradoja. La información que manejan es la materia prima de su negocio. Bloquear la información, protegerla, requiere recursos y puede disminuir el valor de los datos. Una empresa escrupulosa que hace lo correcto por sus clientes o usuarios en materia de seguridad y privacidad, puede verse superada por un competidor que dedica esos recursos adicionales al marketing y al diseño de la interfaz de usuario en lugar de la protección de datos. Sin embargo, las startups independientes no son las únicas organizaciones que encuentran valor en alguna forma de Cultura Autónoma. Muchas organizaciones dividen la autoridad y la responsabilidad de la TI y la seguridad entre diferentes grupos, o las integran en líneas de negocio o regiones geográficas. El principal Página 14/16 McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA PeopleCentric Security: Transformando su cultura de seguridad empresarial La característica de una cultura de autonomía es simplemente que la organización ha llegado a la conclusión de que la seguridad centralizada y estandarizada no funciona tan bien como la seguridad administrada individual o localmente, y ha delegado la autoridad para ello entre diferentes entidades. Ejemplos de culturas autónomas Yo tengo ' Encontré una industria que aboga explícitamente por una cultura de seguridad de autonomía, al menos no en voz alta. Hoy en dia ' s, indicando que la seguridad debe dejarse en manos de los individuos, permitiéndoles decidir por sí mismos qué deben protegerse y cómo, pueden considerarse imprudentes. Pero muchas organizaciones funcionan de esta manera, incluso si no ' t imprímalo en el folleto. Las empresas emergentes, especialmente las de tecnología, a menudo se ven obligadas a moverse tan rápido que la seguridad (junto con todo lo demás) está a cargo de los individuos. Del mismo modo, algunas partes de las instituciones académicas son más autónomas porque están destinadas a ser sistemas abiertos para el libre intercambio de información. La gente de seguridad, en mi experiencia, tiende a ver los valores y rasgos de una Cultura Autonómica como un mal necesario, en el mejor de los casos. Donde existen Culturas Autonómicas, ven la idea de libertad de manera diferente. La autonomía en seguridad es diferente de la cultura de la adhocracia en el Marco de Valores en Competencia original, donde representa un rechazo deliberado de las reglas, los estándares y la burocracia a favor de ser un competidor ágil. Pocos en seguridad, incluso los defensores de una mayor autonomía, afirmarían que las políticas de seguridad, los procesos y otros mecanismos de control son realmente dañinos para el negocio y deben evitarse. En cambio, Autonomy Cultures prioriza la idea de que el control centralizado y el proceso de seguridad estándar no son el único camino a seguir y deben equilibrarse con otras preocupaciones. I ' Por lo general, hemos encontrado pruebas de la cultura de la autonomía mirando entre líneas, examinando las prioridades en conflicto del equipo de seguridad y el resto de la organización. Uno de los mejores ejemplos de Cultura Autonómica ' s influencia en la seguridad es el " trae tu propio dispositivo " movimiento, o BYOD. La consumerización de la tecnología, que ha integrado potentes y sofisticados dispositivos informáticos en red en la vida de los usuarios cotidianos, combinada con una profusión de servicios sociales y de información que se integran con esos dispositivos, ha convertido a casi todo el mundo en un usuario avanzado de TI. Las empresas, a veces sin darse cuenta, han fomentado la consumerización a través de la creciente erosión de los límites entre la vida laboral y la vida personal. Mucha gente espera que sus amigos, compañeros de trabajo y jefes estén disponibles rápidamente en todo momento y en todo momento. A medida que aumentan las oportunidades y la demanda de conectividad y disponibilidad, se han desarrollado ecosistemas únicos. Los grandes jugadores, como Apple y Google, así como muchos otros competidores grandes y pequeños producen teléfonos, tabletas y computadoras personales con bases de usuarios dispares. " frio " en vez de " empresa aprobada " la tecnología ha hecho de BYOD tanto la reputación y la retención del talento como la gestión de las infraestructuras de TI. Una vez escuché a un CISO decir: " Cuestiono la cordura, sin mencionar el juicio, de cualquiera que quiera usar su iPhone en el trabajo. " Este ejecutivo estaba menos preocupado por Apple en particular; mencionó que tenía un iPhone para uso personal. Pero insistió en que la libertad de acceder a la red corporativa con cualquier dispositivo era un riesgo de seguridad inaceptable. Compare eso con compañías como Cisco, donde BYOD cuidadosamente administrado es parte del tejido de la vida de la empresa, y puede ver la diferencia entre los valores de la Cultura de procesos y los de la Cultura de autonomía. Cultura de confianza Las culturas de confianza tienden a insistir en que la seguridad debe ser un proceso colaborativo compartido. Trust Cultures logra el éxito cuando todos son interesados en la seguridad, con las habilidades, el conocimiento y la conciencia adecuados para tomar buenas decisiones. La perspectiva teórica de una cultura de confianza es relaciones humanas, el reconocimiento de que, como dije en el Capítulo 1, ¡la seguridad son las personas! Trust Cultures encarna un enfoque que favorece un control más flexible (ya que la organización ' Los miembros son participantes confiables que no ' t requieren supervisión constante)
Compartir