Logo Studenta

13

Seguridad Informática

SIN SIGLA

User badge image

Jhunior Obregon

¿Te gustó este material? ¡Compartir! 🧡
¡Estudia con miles de materiales!

Vista previa del material en texto

Seguridad centrada en las personas: transformar la seguridad de su empresa
Cultura
por Lance Hayden
McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción.
Reimpreso para Carlos Gonzalez Aspajo, ISACA
gonascar@hotmail.com
Reproducido con permiso como beneficio de suscripción de Libros 24x7,
http://www.books24x7.com/
Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o
Se prohíben otras formas sin permiso por escrito.
Traducido del inglés al español - www.onlinedoctranslator.com
http://www.books24x7.com/
https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Capítulo 13: El valor de seguridad de la resiliencia
Suponga que su organización ha maximizado los dos primeros valores clave del Modelo de comportamiento de Security FORCE, fallas y operaciones, discutidos en los 
Capítulos 11 y 12, respectivamente. Ha configurado los comportamientos operativos y la visibilidad necesarios para asegurarse de que puede detectar errores y 
equivocaciones. Y ha reiniciado su comprensión de la falla en sí, convirtiéndose en un experto en identificar fallas cuando aún son pequeñas. ¿Que viene despues? Eso es 
fácil: vas a experimentar un incidente de seguridad. El fracaso es como la enfermedad, como la tristeza, como el dolor. No importa qué tan bueno sea anticipando y 
evitando el fracaso, todos fracasan eventualmente. Los programas de seguridad altamente confiables (HRSP) no son diferentes. Tienden a tener mejores antecedentes 
que otras organizaciones para evitar fallas, pero nuestras lecciones de la extinción de incendios a Fukushima demuestran que ser resistente a los fallos no es lo mismo 
que ser infalible. Pero las organizaciones de alta confiabilidad (HRO) y los HRSP ya lo saben, por lo que piensan mucho en lo que harán cuando finalmente ocurra un 
desastre. Adoptan el valor de seguridad de la resiliencia.
¿Cuál es el valor de seguridad de la resiliencia?
Resiliencia se refiere a la capacidad de un programa de InfoSec para experimentar un incidente de seguridad importante de tal manera que la organización no solo lo 
sobrevive, sino que se recupera mejor de que haya sucedido. La experiencia seguirá siendo estresante y seguirá representando un resultado no óptimo para todos los 
involucrados. Pero se manejará de manera experta y profesional, de una manera que maximice la estabilidad durante el evento y minimice las interrupciones. Y cuando 
termine, la organización tendrá una mejor comprensión de lo que sucedió y por qué, una perspectiva que utilizará la próxima vez que suceda algo completamente 
inesperado. Este es el valor de seguridad de la resiliencia.
Cuando suceden cosas malas (a buenas organizaciones)
Incluso cuando buscan pequeñas fallas que pueden sumarse a una grande, los HRSP saben que se perderán algunas. Los sistemas organizativos y tecnológicos en los 
que trabajamos son demasiado complejos para predecirlos o controlarlos por completo. E incluso si de alguna manera logramos saber todo por un momento, los 
sistemas complejos producen comportamientos emergentes que continuamente arrojan nuevas fuentes de incertidumbre y riesgo al bote. No puede predecir todas 
las amenazas y riesgos posibles, pero puede predecir que existen amenazas y riesgos que no puede predecir. Eventualmente, su organización se encontrará con uno.
Los HRSP pasan mucho tiempo obsesionados con el fracaso, como he explicado anteriormente. Pero no pierden el tiempo obsesionándose con la inevitabilidad del 
fracaso. En cambio, tratan de anticipar lo que pueden y consideran lo que harán en aquellos casos en los que la anticipación misma falla. En ese momento, es un juego 
de pelota diferente con diferentes reglas. No hay tiempo para reflexionar sobre cómo se pudo haber evitado algo. Todo lo que importa es la acción y lo que sucede para 
abordar la situación. De alguna manera, la resiliencia es el principio más importante de los oficiales de derechos humanos. En los capítulos anteriores he hecho 
referencia al libro de Karl Weick y Kathleen SutcliffeManejando lo inesperado varias veces. Su elección del título es un reflejo de la inevitabilidad de la sorpresa incluso en 
organizaciones dedicadas a no ser tomadas con la guardia baja.
Hay libertad al aceptar lo inevitable. Cuando un HRSP, y necesariamente la empresa más grande, internaliza sinceramente la expectativa de una brecha de seguridad, las personas 
se liberan de las terribles restricciones impuestas al pretender que pueden esquivar las brechas de seguridad para siempre. El beneficio más importante de esta nueva libertad es la 
capacidad de pensar seriamente y dedicar recursos a lo que sucede durante y después del incidente. De repente, la planificación de respuesta a incidentes y recuperación de 
desastres puede adquirir un significado completamente nuevo, no como planificación de contingencia para pesadillas que fervientemente espera que nunca sucedan, sino como 
programa de estudios para otro curso en el más valioso de los recursos educativos de HRSP: el fracaso.
Respuesta a incidentes: lo estamos haciendo mal
El enfoque de seguridad de la información para la planificación de la respuesta a incidentes a menudo me recuerda la forma en que las personas preparan su 
propio testamento vital. Algunas organizaciones evitan hacerlo por completo porque les recuerda su propia mortalidad. Otros lo hacen pero sin inversión 
emocional, tratándolo como un ejercicio legal y burocrático que es necesario por temor o diligencia debida. Rara vez encuentras a alguien preparando su 
testamento en vida con un sentido de asombro y anticipación, viendo el documento como un medio para asegurarse de que puedan afrontar una experiencia 
universal en sus propios términos. Las organizaciones no son muy diferentes, en mi experiencia.
La investigación de HRO siempre me ha atraído porque académicos como Karl Weick evocan sin pedir disculpas una sensibilidad casi espiritual por 
parte de las organizaciones que saben cómo fallar correctamente. Para los HRSP, los incidentes de seguridad de la información son experiencias 
importantes porque ayudan a definir y construir el carácter de la organización. No querrás demasiados, pero cuando tengas uno, querrás sacarle todo 
el valor posible. Desde el pasillo de autoayuda de las librerías hasta las salas de juntas de Silicon Valley, lidiar con la adversidad y el fracaso se 
promociona como una importante lección de vida. Incluso hay que considerar una cualidad ética y moral, porque si el fracaso de una organización va a 
poner a las personas en riesgo o bajo coacción, esa organización tiene la responsabilidad de hacer que ese evento valga la pena.
Si esa perspectiva hace que los tipos de negocios más duros pongan los ojos en blanco sobre conceptos “suaves” como la responsabilidad social corporativa, lo 
entiendo. En su lugar, pensemos en la respuesta a incidentes en términos más fríos y racionales. Ni siquiera el propietario de seguridad más cínico diría que la 
reputación corporativa y el valor de la marca son conceptos sin sentido, libres de cualquier medida de éxito empresarial. Los incidentes de seguridad se encuentran 
entre las raras ocasiones en que una organización recibe atención pública masiva. La gente está asustada y enojada y busca comprender¿Qué vas a hacer al 
respecto? Ahora considere el manejo de eventos recientes de seguridad a gran escala. ¿La respuesta sirvió para ayudar o dañar la reputación de las empresas 
involucradas? El plan de respuesta a incidentes de seguridad, en muchos sentidos, se encuentra entre las campañas de marketing más importantes que realizará 
una organización. Si es poco más que un análisis de la causa raíz y un paquete de indemnización para el CISO, eso es similar a anclar el lanzamiento de su nuevo 
producto en torno al anuncio de que finalmente ha descubierto por qué su último producto se hundió tanto.
Rodandocon los golpes
Página 2 de 9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
El valor de seguridad de la resiliencia consiste en fallar con éxito. Una violación importante de la seguridad de la información puede generar una 
variedad de respuestas, desde la parálisis hasta la proactividad. Piense en dos boxeadores. El primero está mal entrenado y tiene una "mandíbula 
de vidrio". Un buen puñetazo y él está en la lona, luchando por volver a levantarse. Puede pasar un tiempo antes de que esté listo para volver al 
ring, y probablemente no haya aprendido muchas habilidades nuevas después de haber sido noqueado tan rápido. El segundo peleador está bien 
entrenado y acondicionado después de muchas rondas de combate para recibir un golpe. Parece ser capaz de resistir una cantidad increíblemente 
brutal de abuso, pero nunca parece caer. Incluso contra las cuerdas, mantiene su ingenio, buscando cómo escapar y devolver la pelea a su 
oponente. Incluso si pierde por decisión o por nocaut técnico,
Una clave para la resiliencia de HRSP es la actitud de que una falla de seguridad es solo el comienzo de la lucha, no el final. Una brecha no significa que la 
organización haya fallado por completo, solo que ha entrado en una nueva fase de las operaciones de seguridad de la información, una que siempre se 
esperaba que sucediera. El enfoque cambia de intentar predecir y prevenir a trabajar para responder y recuperarse. Estos representan conjuntos de 
habilidades separados y requieren que el equipo de seguridad cambie rápidamente sus estrategias y tácticas; el primer imperativo es no dejar que el 
incidente eclipse todo lo demás de lo que es responsable el programa InfoSec. Si la respuesta es todos manos a la obra, ¿quién queda para dirigir el barco o 
hacerse cargo de las tareas diarias de su funcionamiento? Toda la organización puede quedar discapacitada. Peor,
La planificación y los ciclos de vida de la seguridad de la información no se detienen solo porque sus planes fracasan. Los HRSP aprovechan el valor de la resiliencia manteniendo la 
calma, recurriendo a su capacitación, aportando recursos adicionales y apegándose al plan que hicieron con anticipación sobre qué hacer cuando otros planes fallan. Weick y 
Sutcliffe lo llamaron acertadamente la capacidad de "degradarse con gracia". La resiliencia se trata, en última instancia, de control. Un HRSP tiene las capacidades necesarias para 
asegurar que incluso cuando se pierde el control, la organización aún mantiene cierta capacidad para influir y determinar el ritmo y el tenor de ese proceso. En otras palabras, los 
programas de seguridad resilientes han funcionado para garantizar que al menos puedan controlar cómo pierden el control.
Imaginando fracasos y desastres
Ninguna organización puede desarrollar sus capacidades de resiliencia por mandato. El simple hecho de declarar en un memorando o en una hoja 
de ruta que la organización será resiliente no lo hace posible. Como cualquier otro valor de Security FORCE, los beneficios que se obtienen del 
valor de seguridad de la resiliencia solo se obtienen después de mucho trabajo duro y decidido. En este caso, gran parte de ese arduo trabajo 
implica que el equipo de seguridad visualice todas las cosas que pueden salir mal y las diversas formas en que pueden salir mal. Tanto como 
cualquier otra habilidad, desde la codificación hasta las pruebas y la administración, una imaginación activa es uno de los mejores atributos que se 
debe buscar en un buen administrador de respuesta a incidentes. Un HRSP utiliza su imaginación colectiva para crear un catálogo de incidentes, 
eventos e infracciones potenciales. En lugar de establecer un plan de respuesta a incidentes único y genérico, los HRSP adoptan un modelo basado 
en escenarios,
Imaginar las cosas que pueden dañarlo puede sentirse perverso, incluso patológico. Pero un HRSP no imagina un desastre por miedo. Lo hace apelando a la 
lógica. En un sistema complejo, las oportunidades de falla se acercan al infinito, por lo que una organización que está tratando de anticiparse a la falla sabe 
que eventualmente enfrentará una situación que no había considerado previamente. Luego, la lógica dicta que la organización ponga en marcha respuestas 
para hacer frente tanto a las fallas esperadas como a las inesperadas. La planificación de las fallas esperadas es más fácil, por supuesto, porque tiene una 
idea de los patrones que tomarán y puede especificar los recursos de respuesta con más precisión. La planificación para fallas inesperadas requiere 
capacidades de respuesta que sean flexibles y capaces de aprender y adaptarse rápidamente a nuevos desafíos. Cuantos más fallos pueda agregar a su lista 
de "esperados", ya sea porque pensó en ellos de antemano o porque se enteró de ellos de un fallo inesperado, mejor estará. Pero siempre necesitará esa 
capacidad para gestionar lo inesperado.
Por lo tanto, la resiliencia es una especie de circuito de retroalimentación operativa en sí mismo. Un HRSP aprende de las fallas incluso cuando intenta evitarlas y minimizarlas. Las nuevas fallas se incorporan formalmente al 
conocimiento y la memoria de la organización, de modo que se conviertan en fallas esperadas en el futuro. Los HRSP no ven los incidentes de seguridad como agujeros en un dique que deben taponarse para que nunca más vuelvan a 
tener fugas. Cuando una organización reacciona a cada incidente de seguridad mediante la creación de un nuevo conjunto de políticas y restricciones o la compra de nuevos productos, con el objetivo de hacer imposible que ese 
incidente se repita, el resultado puede ser una mayor rigidez en lugar de una mayor seguridad. El hecho de que un evento de seguridad específico no se pueda repetir no significa que no ocurra uno similar o que no ocurra uno 
completamente diferente. Y habiéndose convencido a sí mismo de que resolvió el problema, el programa InfoSec se arriesga a la complacencia y una falsa sensación de seguridad. Es mucho mejor tratar el incidente como un detonante 
de la imaginación empresarial y preguntar, ¿en qué se parece este incidente a otros? ¿Qué patrones puedo identificar? ¿Y qué opciones están disponibles no solo para evitar que se repita esta falla específica, sino para facilitar la 
identificación y respuesta a este tipo general de falla, preferiblemente antes de que se convierta en un incidente en el futuro? ¿En qué se parece este incidente a otros? ¿Qué patrones puedo identificar? ¿Y qué opciones están 
disponibles no solo para evitar que se repita esta falla específica, sino para facilitar la identificación y respuesta a este tipo general de falla, preferiblemente antes de que se convierta en un incidente en el futuro? ¿En qué se parece este 
incidente a otros? ¿Qué patrones puedo identificar? ¿Y qué opciones están disponibles no solo para evitar que se repita esta falla específica, sino para facilitar la identificación y respuesta a este tipo general de falla, preferiblemente 
antes de que se convierta en un incidente en el futuro?
Resiliencia bajo fuego
Mi artículo favorito de la revista Weick es también el primero que leí en el que exploró el colapso fatal de un equipo de paracaidistas que luchaba contra un enorme incendio 
forestal en Montana. “El colapso de la creación de sentido en las organizaciones: el desastre de Mann Gulch” todavía contiene lecciones para la seguridad centrada en las 
personas. Demuestra las formas en que la catástrofe arroja incluso a los profesionales experimentados a situaciones tan inciertas que sus propias creencias y experiencias 
pueden volverse en su contra, a veces con resultados fatales.
El incendio de Mann Gulch ocurrió a fines del verano de 1949 y mató a 13 paracaidistas que huían por una cresta después de que el incendio se 
descontrolara. El punto más dramático del evento ocurrió cuando el capataz del equipo, al darse cuenta de que elfuego los iba a atrapar, comenzó a 
quemar una sección de la hierba alta por la que se movía el equipo y ordenó a todos que se tumbaran y dejaran pasar el fuego. ellos. Nadie escuchó y 
todos los demás corrieron por sus vidas. El capataz sobrevivió, al igual que dos de los bomberos que lograron cruzar la cresta a tiempo. El resto murió 
cuando el fuego los alcanzó y los envolvió.
Una de las lecciones de Mann Gulch fue que, en una crisis, lo racional y lo loco pueden confundirse. Las personas que luchan contra el miedo y la desesperación 
toman decisiones emocionales si, a través del entrenamiento y la experiencia, no han hecho que sus reacciones sean lo suficientemente automáticas como para 
superar el pánico. El capataz del equipo de saltadores de humo, también el más experimentado del grupo, tuvo muchas reacciones en las que apoyarse.
Página 3/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Sabiendo que el fuego iba a atrapar a su equipo sin importar qué, optó por elegir su propio terreno y crear condiciones en las que pudiera controlar lo que 
sucedería, específicamente despejando un espacio libre de combustible para el infierno que se avecinaba. Tenía perfecto sentido. Pero para todos los demás, su 
orden sonó suicida, esencialmente una orden de acostarse y entregarse al fuego. La mayoría de los hombres del equipo no habían trabajado antes con el capataz, 
por lo que no lo conocían lo suficientemente bien como para comprender cuánta experiencia tenía y, por lo tanto, no pudieron comprender sus acciones. Los dos 
supervivientes restantes lo lograron porque fueron más rápidos y afortunados que sus compañeros. Pero si todos hubieran confiado en los instintos y la experiencia 
superiores del capataz, probablemente todo el equipo habría sobrevivido.
Durante una brecha de seguridad, muchas acciones pueden tener sentido en el momento. Por ejemplo, un instinto común es dejar de comunicarse y rodear los vagones hasta 
que se complete la investigación, o simplemente desconectar los sistemas afectados y así detener el ataque. Pero en algunos casos, estas acciones pueden empeorar y solo 
empeorarán las consecuencias. La única manera de prepararse para una infracción importante es prepararse realmente para ella, imaginándola, analizándola y luego 
practicándola una y otra vez hasta que lo que haya decidido que son los mejores cursos de acción estén arraigados, incluso si es posible. parece poco práctico o extremo en el 
momento. Hubo un tiempo en que los juegos de guerra y los ejercicios del equipo rojo eran algo que solo hacían los militares. Ahora son operaciones estándar en la mayoría de 
los kits de herramientas de los CISO.
Comportamientos de valor clave de resiliencia
Los comportamientos de valor de resiliencia que exhibe un HRSP permiten a la organización fallar con éxito durante un incidente de seguridad inesperado. Estos 
comportamientos ayudan a garantizar que la organización se esté preparando continuamente para enfrentar cualquier situación de falla, ya sea una que la organización 
haya imaginado previamente o una que nunca se anticipó. La organización debe reaccionar, adaptarse e incorporar rápidamente las lecciones del incidente y otros para 
minimizar el impacto sin compensar en exceso de formas que creen riesgos en otras áreas. Los comportamientos que caracterizan el valor de seguridad de la resiliencia 
incluyen
norte Sobreentrenar a la gente
Crear "bancos de habilidades 
”Comparta activamente la 
experienciaFomente metas 
ambiciosas Practique fallar
norte
norte
norte
norte
Gente de sobreentrenamiento
Cuando se trata de capacitación para incidentes de seguridad de la información, los HRSP creen que "el camino del exceso conduce al palacio de la sabiduría". En un entorno que 
ofrece innumerables formas de que las cosas salgan mal, simplemente no puede haber demasiadas personas capacitadas y conocedoras para ayudar cuando algo inevitablemente 
sale mal. En entornos de seguridad altamente confiables, las personas conocen bien su trabajo, conocen bien los trabajos de otras personas y pueden ponerse al día rápidamente 
en situaciones imprevistas. Sobreentrenamiento no es exceso de personal. La mayoría de las organizaciones no pueden permitirse mantener a más personas de las que necesitan 
normalmente, solo como preparación para el día en que lo adecuado no sea suficiente. Pero las organizaciones pueden permitirse maximizar la cantidad de personas que tienen, 
para alentar e incluso exigir que sus habilidades se optimicen frente a factores estresantes tanto extraordinarios como típicos del sistema.
La seguridad centrada en las personas adopta el enfoque de que la inversión y el desarrollo de capital humano para respaldar la protección de los activos de 
información y los sistemas de TI son tan importantes, si no más importantes, que invertir en gastos de capital más tradicionales en seguridad. El capital humano se 
define ampliamente como el valor del conocimiento y las habilidades de un empleado, y la teoría del capital humano se ha aplicado ampliamente en contextos 
industriales y educativos. En el centro está la idea de que las inversiones en personas son similares a las inversiones en otras infraestructuras a gran escala. Si invierte 
de manera significativa y sabia, obtendrá sistemas organizativos mejores y más productivos. Escatima en personas y, como abaratar los materiales de construcción o 
los sistemas de TI, termina con una debilidad estructural que lo hace menos competitivo y más propenso a fallar.
Durante un incidente de seguridad, la capacidad de recuperación de una organización dependerá de su capacidad para abordar el problema aplicando muchas soluciones 
potenciales muy rápidamente, identificando patrones y respuestas cada vez menos exitosas a eventos sobre la marcha. Incluso con la mejor preparación, los incidentes de 
seguridad confundirán y distraerán. Los equipos de respuesta que apenas entienden cómo funcionan los sistemas en el mejor de los casos estarán mal preparados para 
comprender cómo funcionan a medida que colapsan. Y a medida que los incidentes absorben otros sistemas y funciones, incluidos los que están totalmente fuera del ámbito 
normal de InfoSec, solo una combinación de habilidades y experiencia podrá gestionarlos.
Los HRSP intentan desarrollar capacidades colaborativas de respuesta a incidentes que puedan aprender y crecer incluso mientras se encuentran en medio de un ataque y una 
brecha en toda regla. Esto requiere personas comprometidas y comprometidas que hayan trabajado para construir conocimiento interdependiente y multifuncional. No es fácil ni 
barato, especialmente considerando que cuanto más valioso es el capital humano para una organización, más fungibles son esas habilidades y talentos en el mercado abierto. 
Pero para los programas de seguridad relacionados con la gestión eficaz de grandes eventos de fallas, ninguna amenaza es más perturbadora que no tener recursos capaces de 
responder de manera eficaz.
Explorando el capital humano
El capital humano ha sido objeto de numerosas investigaciones y, en algunos casos, de críticas. Pero hoy en día es ampliamente aceptado en campos tan 
diversos como la educación, los recursos humanos y las políticas públicas. Ni siquiera he arañado la superficie de la teoría del capital humano al describir 
el entorno de formación de los HRSP. Hay muchos libros sobre el tema y su aplicabilidad a lo largo de la gestión organizacional. Dos buenas fuentes de 
información introductorias para aquellos interesados en explorar más el tema son el Human Capital Institute (www.hci.org) y el informe Deloitte 
Tendencias Globales de Capital Humano 2014 (disponible en Deloitte University Press, http://dupress.com).
Página 4/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://www.hci.org/
http://dupress.com/PeopleCentric Security: Transformando su cultura de seguridad empresarial
Crear "bancos de habilidades"
La capacitación y el desarrollo de habilidades por sí solos no le dan a una organización todo lo que necesitará en una crisis. Solo proporciona las materias primas para el valor de 
seguridad de la resiliencia. Un HRSP aún necesita dirigir y estructurar su capital humano para que pueda ser utilizado de manera efectiva durante un incidente de seguridad. Los 
bancos de habilidades designados formalmente en todo el programa InfoSec y más allá brindan una estructura de apoyo flexible que puede adaptarse a las circunstancias 
cambiantes antes, durante y después de un incidente.
A banco de habilidades es, en el fondo, solo un plan combinado con una lista de personas con experiencia específica. El banco funciona como una 
solución para la escasez de personal que surge durante un incidente. Si solo uno o dos empleados tienen un conjunto de habilidades, técnicas o de 
otro tipo, entonces una infracción que involucre su experiencia puede paralizarlos durante días o semanas. ¿Qué sucede con sus deberes y 
responsabilidades habituales durante ese tiempo? Si no apoyan directamente o no se ven afectados directamente por el evento de seguridad, es 
probable que se descuiden o incluso se ignoren por completo. Esa no es una gestión operativa eficaz. Si, por otro lado, la organización puede 
recurrir a un banco de talento y habilidad similar, incluso si esas personas no son tan capaces como los empleados que hacen el trabajo a tiempo 
completo, llamar a los recursos del banco puede mitigar el impacto de la crisis.
Los HRSP crean bancos de habilidades al trazar primero los roles y los requisitos de habilidades laborales requeridos para cada función de seguridad de la información, y 
probablemente varias que no son de seguridad, que podrían estar razonablemente involucradas en un incidente. El mapa de experiencia resultante se utiliza para evaluar la posible 
escasez de habilidades y los cuellos de botella resultantes de incidentes de seguridad específicos en el catálogo de incidentes de la organización. Luego, se diseñan planes de 
contingencia con desencadenantes particulares para guiar al equipo de seguridad en la identificación de patrones de incidentes probables y la aplicación de los recursos del banco 
de habilidades según la necesidad predeterminada. Nuevamente, nada de esto es fácil. La planificación de contingencias es complicada y es tanto un arte como una ciencia. Las 
organizaciones son fluidas y los entornos son dinámicos, por lo que el banco de habilidades debe mantenerse actualizado a lo largo del tiempo. Las personas en el banco deben 
saber que son parte de él y recibir la capacitación y la educación necesarias para mantener viables sus capacidades. Pero como cualquier otro comportamiento que involucra el valor 
de seguridad de la resiliencia, los HRSP eligen asumir el desafío porque quieren saber que cuando ocurre un evento importante, se sentirá más como un mal día en la oficina y 
menos como el fin del mundo.
El banco de habilidades puede ser una oportunidad perfecta para la subcontratación, especialmente en empresas con pocos recursos. Es muy probable que un incidente de 
seguridad motive a la alta dirección a liberar fondos y apoyo que simplemente no están disponibles en otras circunstancias más normales. Pero la construcción de un banco con 
soporte externo no libera al HRSP de la planificación anticipada. Al igual que los sitios de respaldo en la recuperación de desastres y la planificación de la continuidad del negocio, 
la organización debe darse opciones para la dotación de personal caliente, tibio y frío antes de un incidente. No comienza a preparar un sitio de recuperación ante desastres 
caliente el día en que la inundación destruye su centro de datos. Un personal de banco subcontratado debe estar disponible de inmediato, no solo para garantizar que la respuesta 
sea oportuna, sino también para negociar y aprovechar el “quizás tenga un problema algún día” versus “¡Necesito a alguien aquí ahora!
Comparta activamente la experiencia
Es posible que ya se haya dado cuenta de que cada uno de los valores de Security FORCE incluye un comportamiento dedicado a compartir información y conocimientos. Para el valor 
de seguridad de la resiliencia, compartir es la experiencia, que fluye naturalmente de los dos primeros comportamientos clave. Pero el intercambio de experiencia se extiende más 
allá de informar a todos quién tiene habilidades de Active Directory o quién ha recibido capacitación en análisis forense de incidentes. Compartir experiencia también significa 
compartir opiniones e imaginación en toda la organización durante un evento de seguridad. Se trata de aprovechar todo el peso del capital humano e intelectual empresarial para 
gestionar con éxito una crisis de seguridad.
El reflejo y el instinto pueden, durante un incidente de seguridad, llevar a las personas a abrazar la acción por encima del pensamiento. 
Como en el caso del desastre de Mann Gulch (ver el recuadro anterior), cuando un muro de fuego de 30 pies de altura se acerca a usted, la 
opción que parece menos prudente es detenerse y pensar qué hacer. La opción más sabia parece ser correr por tu vida. Pero como las 
víctimas pronto descubrieron trágicamente, detenerse y escuchar al capataz es exactamente lo que deberían haber hecho. Lo mismo 
ocurre con la seguridad de la información. Se siente mejor en medio de una situación incierta estar haciendo algo, cualquier cosa, que 
parezca una acción positiva. Pero si nuestra conciencia de la situación es insuficiente para saber cuál es la mejor acción, podemos 
encontrar que actuar nos perjudica. En una situación de crisis, existe un delicado equilibrio entre reflejo y reflexión.
Durante un incidente de seguridad, es imperativo que una organización examine todas las opciones disponibles y elija (aunque rápidamente) los mejores movimientos a 
realizar. Sin embargo, cuando la experiencia se ha relegado a silos y las personas solo tienen su propia experiencia limitada en la que confiar, la posibilidad de tomar 
malas decisiones aumenta. Peor aún, la crisis a menudo motiva a las personas a actuar como si supieran lo que está sucediendo, ya sea porque no se dan cuenta del 
alcance de su propia ignorancia sobre la situación o para tranquilizar a los demás para que apoyen sus acciones. Los HRSP intentan evitar decisiones basadas en 
bravuconería o percepciones estrechas. En cambio, su objetivo es crear el espacio suficiente para recopilar diferentes análisis y opiniones de una variedad de partes 
interesadas antes de que se tomen decisiones.Manejando lo inesperado se refiere como "holgura conceptual". Es un equilibrio complicado entre el juicio rápido por un 
lado y la vacilación por el otro. Sin embargo, para un HRSP que gestiona un evento de seguridad, tomarse unas horas para recopilar marcos de referencia alternativos y 
puntos de vista contrarios puede significar no perder órdenes de magnitud más de tiempo yendo por el camino equivocado y luego tener que volver sobre sus pasos.
Fomentar los objetivos de estiramiento
El valor de seguridad de la resiliencia no se cosecha simplemente dando a los miembros de una organización suficiente capacitación. Tomar clases y obtener 
certificaciones no convierte a una persona en un practicante experimentado. Si esas nuevas habilidades no se ponen en práctica, se atrofian y se degradan. Por esa 
razón, los HRSP motivan y alientan a sus miembros a poner en práctica su capacitación, preferiblemente asumiendo desafíos que los prepararán para el ritmo más 
intenso de un incidente de seguridad.
Los objetivos extensos se utilizan ampliamente en la seguridad de la información y la gestión del rendimiento de manera más general, aunque a veces pueden ser más
Página 5/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarialsobre las ilusiones o un intento de exprimir algunas onzas más de productividad que sobre realmente estirar las habilidades de alguien. Los desafíos en el 
contexto de los HRSP y la resiliencia están destinados a lograr lo último, a tensar y estirar las capacidades del empleado de la misma manera que tensamos y 
estiramos nuestros cuerpos a través del ejercicio. Queremos que nuestros equipos sean más fuertes y ágiles para que estén mejor preparados para afrontar 
condiciones adversas durante un evento. Pero en lugar de la destreza física (aunque eso también puede ser necesario, los incidentes de seguridad tienden a ser 
agotadores físicamente), el objetivo es la fuerza y la resistencia cognitivas e incluso emocionales.
Los comportamientos clave del valor de la resiliencia que se describen en este capítulo brindan amplias oportunidades para desafiar los objetivos ambiciosos, hasta el punto en que 
dichos objetivos son prácticamente una característica estructural del valor de seguridad de la resiliencia. Habiendo capacitado y organizado a personas capacitadas para funcionar 
como recursos primarios y de reserva durante un incidente o evento de seguridad importante, los HRSP los alentarán a participar y participar en todo el panorama del programa de 
seguridad. Las rotaciones a través de otras funciones de InfoSec y TI, las oportunidades para liderar o unirse a proyectos e iniciativas, y los ejercicios de formación de equipos 
virtuales que reúnen a las personas en los bancos de habilidades y sus colegas principales son todos los medios por los cuales un HRSP puede fomentar un entorno de excelencia 
colaborativa. .
Sin embargo, lo más importante es que los objetivos ambiciosos deben ser recompensados. La compensación por ir más allá de las 
responsabilidades habituales no siempre tiene que ser de naturaleza financiera y, en algunos casos, el dinero puede ser menos efectivo 
que otros medios de motivación. Recuerde que el objetivo es formar un equipo operativo muy unido que pueda manejar eficazmente una 
crisis. Si tomamos lecciones de otros campos de la gestión de crisis, aquellos con un alto grado de profesionalismo y espíritu de cuerpo, 
los que mejor se desempeñan no son necesariamente los mejor pagados. Tan importante como es el dinero, los HRSP trabajan para que 
las personas se sientan valoradas y apreciadas por sus contribuciones. Reconocimiento en toda la empresa, oportunidades para asesorar 
o trabajar en proyectos interesantes,
Práctica fracasando
¿Cómo se llega al Carnegie Hall? dice el viejo chiste. ¡Práctica! Es una especie de lección de vida universal que nadie es un virtuoso por naturaleza. Si quieres ser el mejor 
en algo, tienes que dedicar largas y duras horas a entrenar y prepararte, repitiendo los mismos ejercicios una y otra vez hasta que sean perfectos y estén inscritos en la 
memoria muscular. Es cierto para los músicos, es cierto para los atletas y es cierto para los HRSP. El fracaso es prácticamente el único evento en el que los equipos de 
seguridad de la información piensan, se estresan y se preguntan si están preparados para ello. ¡Pensarías que podríamos practicar un poco más de lo que lo hacemos 
para prepararnos para nuestra gran noche en el escenario!
Parte del problema se remonta a los puntos que hice sobre el valor de seguridad del fracaso en el capítulo 11, a saber, que odiamos la idea de fracasar y lo abordamos 
con el mismo entusiasmo que lo hacemos con la muerte y los impuestos. Pero, como también he señalado, los incidentes de seguridad son tan inevitables como la 
muerte y los impuestos, por lo que deberíamos estar preparados para uno cuando llegue. Sin práctica, un incidente de seguridad es nuevo, desconocido y aterrador, 
quizás abrumadoramente. Incluso con práctica, los incidentes de seguridad incluirán cosas nuevas y aterradoras, por lo que hacer que nuestra respuesta sea lo más 
rutinaria y familiar posible en medio del caos libera recursos cognitivos que podemos dedicar a resolver problemas. Volviendo de nuevo al Capítulo 11, hablé sobre cómo 
la películaApolo 13 citó erróneamente la línea "El fracaso no es una opción". La NASA nunca descartó el fracaso. De hecho, practicaron fallar todo el tiempo. La primera 
misión Apolo terminó en tragedia en 1967 cuando tres miembros de la tripulación murieron en un incendio. Una junta de investigación fue muy crítica con las 
operaciones de la NASA que condujeron al accidente, y luego la NASA comenzó a prestar mucha más atención a la seguridad y a prepararse para futuros accidentes. 
Como describe Nick Gardner en su libroErroresDurante el resto del programa Apollo, los equipos de la NASA pasaron tiempo entre lanzamientos soñando escenarios de 
desastre y ejecutando simulaciones de ellos entre sí como pruebas. El plan de rescate del Apolo 13, de hecho, fue el resultado de uno de estos escenarios.
Los HRSP tratan la práctica del fracaso de la misma manera que tratan el entrenamiento: nunca se puede tener suficiente. Es posible que no pueda obtener todo lo que 
desea o todo lo que necesita, pero la práctica en forma de juegos de guerra, planificación de escenarios y simulacros de incidentes de seguridad se considera de alto 
valor y un excelente uso del tiempo y el dinero. Sin embargo, practicar el fracaso no es lo mismo que las pruebas de penetración o las auditorías de cumplimiento, 
aunque pueden incluirse en un ejercicio de práctica. Las pruebas y las auditorías son mecanismos de recopilación de datos, no ejercicios experimentales. Practicar el 
fracaso no significa identificar dónde un ciberdelincuente puede comprometer sus servidores de producción. Practicar el fracaso significa simular exactamente lo que 
sucede cuando ese delincuente realmente compromete esos dispositivos. ¿Cómo se entera la organización? ¿Cómo responde? ¿Cómo se ocupa de los resultados? La 
práctica de fallas implica comprender todo este proceso en detalle y averiguar dónde falla la respuesta al incidente de seguridad en sí misma. Después de muchas 
iteraciones, esa respuesta se vuelve mucho mejor y, finalmente, se convierte en un hábito, profesionalizado en otro proceso operativo más.
El país no recuperado
Estonia se preocupa mucho por el valor de seguridad de la resiliencia. La nación báltica tiene una historia impresionante de adopción digital, así como 
preocupaciones sobre la guerra cibernética, habiendo sido golpeada por uno de los primeros ejemplos de ella en 2007. Más recientemente, el gobierno de Estonia 
se ha embarcado en un programa diseñado para administrar el servicio digital del país. infraestructura incluso si el país se ve afectado por otro ciberataque 
masivamente debilitante.
Bajo la rúbrica de la “Iniciativa de la Embajada de Datos”, Estonia ha comenzado a planificar la migración de datos y recursos informáticos a otros países en caso de 
una emergencia. En situaciones en las que un ataque elimina o niega los servicios gubernamentales alojados dentro de Estonia, esos recursos pueden migrar rápida 
y eficazmente al extranjero, principalmente a embajadas de datos previamente designadas que se ejecutan desde el interior de las embajadas físicas de Estonia en 
todo el mundo. La estrategia es que las capacidades gubernamentales sigan funcionando, incluido el pago de salarios y la prestación de servicios a los ciudadanos, 
mientras se resuelve la crisis de la infraestructura doméstica.
Una prueba inicial realizada por el gobierno de Estonia del sistema de continuidad digital fue prometedora, pero también demostró las increíbles 
complejidades que existen incluso en infraestructuras digitales bien diseñadas y bien gestionadas. Las pruebas realizadas en asociación con Microsoft 
encontraron problemas técnicos, legales y de gestión, algunos de los cuales se habían considerado con anticipación y otros estaban completos.
sorpresas. Como se indica en el informe oficial del gobierno,...quedó claro que pase lo que pase, la preparación para los libros de texto es imposible de lograr ".
Página 6/9
McGrawHill / Osborne, McGrawHillEducation (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Entre los hallazgos y recomendaciones específicos del ejercicio se encuentran dos que se hacen eco claramente del material de este capítulo. Un hallazgo 
determinó que debido a la falta de documentación del sistema o inadecuada, a menudo se daba el caso de que el conocimiento práctico de un sistema se limitaba 
a “solo un pequeño número de expertos” y creaba brechas en el potencial de continuidad digital durante un incidente. Una de las ocho recomendaciones clave del 
informe fue aún más acertada. Afirmó que "los procedimientos operativos deben prepararse y probarse con anticipación y no en una crisis". El informe completo 
se puede encontrar en la versión en inglés de Estonia del sitio web del Ministerio de Asuntos Económicos y Comunicaciones enwww.mkm.ee/en (busque “Iniciativa 
de la Embajada de Datos”).
Evaluación de sus comportamientos de valor de resiliencia
Utilice Security FORCE Survey y Security FORCE Metrics para determinar qué tan bien su organización se adhiere a los comportamientos de valor clave para la resiliencia 
y para proporcionar evidencia empírica de esos comportamientos.
Puntuación de la encuesta de comportamiento de valor de resiliencia
La encuesta Security FORCE incluye declaraciones relacionadas con el valor de seguridad de la resiliencia. Las cinco declaraciones bajo Valor de seguridad de la resiliencia se 
enumeran en la muestra de la Encuesta FORCE que se muestra enFigura 13-1. Al igual que en los capítulos anteriores, la puntuación asume respuestas Likert normalizadas en una 
escala de 1 a 5:
norte Una puntuación promedio de 4 o más (la mayoría de las respuestas indican de acuerdo o totalmente de acuerdo) significa que la organización exhibe comportamientos encontrados
en un HRSP.
norte Una puntuación promedio de 3 (la mayoría de las respuestas indican que el encuestado se sintió neutral) significa que la organización puede o no comportarse como una
HRSP.
norte Una puntuación promedio de 2 o menos (la mayoría de las respuestas indican en desacuerdo o muy en desacuerdo) significa que la organización no exhibe el
comportamientos encontrados en un HRSP.
Figura 13-1: Declaraciones de la Encuesta de valor FORCE para comportamientos de valor de resiliencia
Para los comportamientos de valor de resiliencia, una puntuación promedio de 4 o más indica que la organización se comporta de manera que le permitirá responder 
de manera más rápida y efectiva a los incidentes de seguridad. La organización se habrá preparado de antemano para una variedad de posibles incidentes y habrá 
puesto en marcha mecanismos para hacer frente a incidentes inesperados que no habían sido considerados. La respuesta será más efectiva dada la presencia de 
recursos listos para abordar los problemas de manera coherente. Una puntuación de 2 o menos indica que la organización no se comporta como un HRSP y es menos 
probable que “falle con elegancia” y se recupere rápidamente de un incidente de seguridad. Es más probable que pierda el control del proceso de falla y entre en 
pánico o parálisis cuando se enfrente a escenarios de incidentes de seguridad nuevos o inciertos.
Métricas de valor de FORCE para la resiliencia
Las métricas de valor de FORCE para la resiliencia, que proporcionan medidas adicionales de alineación del comportamiento de HRSP, se pueden encontrar en Figura 13-2.
Página 7/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
http://www.mkm.ee/en
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Figura 13-2: Métricas de valor FORCE para comportamientos de valor de resiliencia
Uso de las métricas de valor de resiliencia de FORCE
Las cinco métricas de FUERZA asociadas con el valor de la resiliencia capturan la capacidad de una organización para enfrentar una crisis frente a una falla en la seguridad de 
la información, como una violación importante de datos. Todas son sugerencias y no son exhaustivas, y deben utilizarse, adaptarse o complementarse según corresponda.
Número de oportunidades de formación relacionadas con la seguridad ofrecidas a las personas, por función o grupo, en el último año Las empresas dan suFormación 
específica en seguridad de la información de los equipos de InfoSec, por lo general. Y dan formación en forma de concienciación educativa en toda la empresa, muy probablemente. 
Si la seguridad realmente afecta a una empresa en su conjunto, entonces toda la empresa debe recibir capacitación sobre ella hasta cierto punto, y más allá de los conceptos básicos 
de saber cuándo o no hacer clic en un enlace de correo electrónico. Hoy en día, muchas organizaciones consideran que el dominio del software de productividad de oficina estándar 
es una habilidad necesaria. La mera conciencia de que el procesamiento de textos o el desarrollo de presentaciones es una cosa no es suficiente. El conocimiento y la habilidad de 
seguridad deben estar al mismo nivel, y la organización debe proporcionar acceso a todos a todos. No todos en RRHH necesitarán o querrán saber cómo funciona el cifrado o cómo 
configurar un firewall. Pero algunos podrían. Y tener personas capacitadas en roles que no son de seguridad puede ayudar tanto a prevenir fallas como a hacer que una 
organización sea más resistente ante una. Si la organización limita el desarrollo de habilidades de seguridad solo al equipo de InfoSec, esto puede ser un indicador de que la 
resiliencia puede verse afectada cuando ese equipo enfrenta una brecha que nadie más puede entender.
Número de recursos de respaldo de seguridad identificados disponibles durante un incidente Difundir las habilidades de seguridad de la información yel conocimiento puede 
conducir a algo más que una fuerza laboral informada y capaz. La organización puede mejorar drásticamente la resiliencia identificando formalmente a algunas de estas personas 
como recursos de respaldo a los que se puede recurrir durante un incidente, una especie de "departamento de bomberos voluntarios" o "Reserva del Ejército" para el programa 
InfoSec. Saber quiénes son y dónde están estas personas, o si incluso existen, es una buena medida de la capacidad de crisis de una organización, lo que afectará directamente la 
capacidad de la organización para responder y recuperarse rápidamente de un incidente.
Proporción de empleados con asignaciones de "desafíos" de seguridad identificados como parte de las revisiones periódicas del 
desempeño Esta métrica nosignifica que la organización debe encontrar formas de hacer que las personas sean directamente 
responsables de la seguridad o asumir tareas relacionadas con la seguridad que no comprenden o no desean realizar. Las asignaciones de 
desafíos de seguridad comienzan donde terminan las líneas de base mínimas de capacitación y concientización. Las organizaciones deben 
trabajar de manera creativa para hacer que las asignaciones sean prácticas y valiosas, para hacer que completarlas valga la pena el tiempo 
de un empleado, y deben ser comparables e iguales a otros objetivos de desempeño, no responsabilidades adicionales. Las asignaciones 
pueden variar desde tomar un curso de capacitación de seguridad opcional adicional hasta seguir a un miembro del equipo de InfoSec 
durante un día.
Número y tipo de oportunidades de intercambio de conocimientos sobre seguridad creadas en el último año Enseñar habilidades de seguridad de la información yEl fomento 
de los esfuerzos individuales para mejorar los conocimientos sobre seguridad debe complementarse con el fomento del intercambio de esas habilidades y ese conocimiento. Al igual 
que las asignaciones de desafío, las organizaciones deben ser creativas con la forma en que desarrollan el intercambio de conocimientos para InfoSec, y hacerlo no implica ni 
requiere un gasto significativo de tiempo o dinero. Pero la organización debe realizar un seguimientode sus esfuerzos y utilizar esa métrica como un indicador para comprender 
cómo y en qué medida se está produciendo la difusión de las capacidades de seguridad dentro de la empresa a fin de aprovechar los aumentos en el valor de la resiliencia que se 
obtienen cuando se requiere conocimiento colectivo. durante un evento de falla.
Número de pruebas de respuesta basadas en escenarios o ejercicios de juegos de guerra de seguridad realizados el año pasado Esta métrica es muysencillo y, a diferencia de 
las medidas anteriores, se dirige principalmente al programa InfoSec. La organización debe realizar un seguimiento de los esfuerzos para anticipar y simular escenarios de falla 
como parte de su estrategia de resiliencia. Si no está practicando fallar de manera regular y no retroalimenta los datos y conocimientos resultantes sobre la seguridad en general, y 
los planes de respuesta a incidentes y crisis en particular, entonces las puntuaciones bajas resultantes para esta medición son un buen indicador de que la organización no lo está. 
tan preparado para un evento importante de seguridad de la información como podría estarlo de otra manera.
Mejorar sus comportamientos de valor de resiliencia
Las personas son la piedra angular del valor de seguridad de la resiliencia, y mejorar sus comportamientos consiste en brindarles más oportunidades para que logren 
sus metas personales, al mismo tiempo que cumplen los objetivos estratégicos de toda la empresa. A diferencia de los valores de seguridad de fallas y operaciones, 
que le pide a una organización que reconsidere su enfoque de esas cosas, el valor de seguridad de la resiliencia exhibido por un HRSP frente a
Página 8/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Los incidentes de seguridad de la información probablemente no sean tan controvertidos. Casi todo el mundo estará de acuerdo, especialmente hoy, en que la capacidad de capear una crisis de 
seguridad y lucir competente públicamente mientras lo hace, es algo absolutamente bueno. La forma de llegar es complicada.
El principal obstáculo que probablemente enfrentará una organización para darse cuenta del valor de seguridad de la resiliencia no es el escepticismo sobre la 
capacitación o la práctica de escenarios de respuesta a incidentes. Pocos gerentes, al menos en público, minimizarían estos importantes elementos de la preparación 
operativa. El retroceso más probable que enfrentará el programa InfoSec es la disponibilidad de recursos, incluido el tiempo, el dinero y las personas, necesarios para 
que la organización se comporte como un HRSP. El tema de las prioridades en competencia se encuentra a lo largo de este libro, y esa competencia afectará las 
decisiones de las personas sobre dónde gastan su tiempo, dinero y capital político. Mejorar la resiliencia significa cambiar los recursos limitados de otra cosa, a menudo 
algo tangible y actual, despriorizar esa cosa en favor de una mejor preparación para eventos que inevitablemente sucederán pero que no se pueden predecir con 
precisión. Eso puede ser difícil de vender.
Descubrí que una de las mejores formas de defender el valor de seguridad de la resiliencia es vincular ese valor a otras prioridades empresariales más intuitivas. No lo 
hagas para mejorar la resiliencia. Hágalo para mejorar las funciones y las decisiones que darán como resultado una mejor resiliencia, lo que nos devuelve a la idea del 
capital humano y la seguridad centrada en las personas. La resiliencia es solo uno de los beneficios positivos de capacitar y mejorar la experiencia, las habilidades y la 
experiencia laboral de las personas. Las empresas más admiradas hoy en día, las que terminan en las listas de los mejores lugares para trabajar, tienen en común su 
énfasis en crear un lugar significativo para trabajar. El valor de la resiliencia incluye oportunidades para la mejora humana dentro del programa InfoSec, pero con 
posibilidades mucho más amplias para la organización en su conjunto.
Incorporar el valor de la resiliencia en el programa de seguridad
Los dos cambios más importantes necesarios para hacer que un programa de InfoSec se convierta en un HRSP en términos del valor de seguridad de la resiliencia no implican 
convencer a las personas de que una respuesta a incidentes más eficaz es buena. Como mencioné anteriormente, eso es prácticamente un hecho. Los cambios que se requieren 
implican lograr que las personas asuman una propiedad más activa en las responsabilidades de seguridad interfuncionales y superar la ansiedad organizacional por un incidente de 
seguridad inevitable.
“¿Un incidente de seguridad? ¡Quiero entrar!"
Los equipos de élite de héroes, sacrificándose haciendo un trabajo que nadie más puede o querría hacer, es exactamente lo opuesto a cómo quieres que la gente vea a 
los empleados que responden a los incidentes de seguridad, o que se vean a sí mismos si son esas personas. Los HRSP difunden la propiedad de los eventos de fallas 
importantes, y no para culpar o responsabilizar a las personas. Si entrenas y te preparas bien para algo, incluso algo horrible, hay una cierta sensación de logro e incluso 
orgullo que viene al poner esa preparación a prueba. Los socorristas en una escena de desastre no vienen al lugar con la esperanza de encontrar a otras personas para 
hacer el trabajo. Participan y actúan, proporcionando los recursos y servicios que se han capacitado y se han comprometido a brindar. Los incidentes de seguridad 
deberían desencadenar este mismo nivel de determinación, si no entusiasmo. Las personas que han trabajado para contribuir al valor de la resiliencia quieren ayudar 
porque están seguras de que pueden hacerlo. Es un rasgo cultural que debe nutrirse y reforzarse constantemente a través de los comportamientos definidos a lo largo 
de este capítulo.
Haga que los incidentes de seguridad sean mundanos
Será mucho más fácil involucrar a las personas en la respuesta a incidentes de seguridad cuando consideren tales incidentes como una prueba de habilidad y no como 
una amenaza existencial. Un problema que tengo con la narrativa de "ya te han pirateado" en la seguridad de la información hoy en día es que enseña las lecciones 
equivocadas sobre la banalidad de las fallas de seguridad, es decir, que no puedes hacer nada al respecto (excepto, por supuesto, comprar los productos y servicios de 
las empresas que utilizan la narrativa). Un mejor enfoque, un enfoque más orientado al HRSP, sería aceptar la inevitabilidad del fracaso pero rechazar la inevitabilidad 
de la impotencia frente a él. Lo que debería hacer que un incidente de seguridad sea mundano es que se espera, se anticipa hasta cierto punto, se planifica y se 
documenta para que los resultados se puedan incorporar a un proceso de aprendizaje y mejora organizacional. En una organización que ejecuta un HRSP, "tuvimos un 
incidente de seguridad" es, idealmente, al mismo nivel que "el crecimiento de los ingresos fue plano en Europa" o "tuvimos un problema de la cadena de suministro en 
Asia" o "la empresa tuvo que lidiar con una demanda de productos ". Estos ocurren todo el tiempo y rara vez son titulares de primera plana, aunque nadie diría que 
pueden ser grandes problemas. Pero como tales, son crisis que hay que afrontar, analizar, responder y superar con la menor interrupción posible.
Otras lecturas
norte Gardner, Nick. Errores: cómo han sucedido y cómo podrían evitarse algunos. BookSurge, 2007.Maclean, 
Norman. Hombres jóvenes y fuego. Chicago: University of Chicago Press, 1972.norte
norte Weick, Karl E. "El colapso de la creación de sentido en las organizaciones: el desastre de Mann Gulch ". Ciencia Administrativa Trimestral 38: 4 
(1993): 628–652.
Página 9/9
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
	Chapter 13: The Security Value of Resilience
	What Is theSecurity Value of Resilience?
	Resilience Key Value Behaviors
	Assessing Your Resilience Value Behaviors
	Improving Your Resilience Value Behaviors
	Further Reading

Más contenidos de este tema

Contenido elegido para ti

MANUAL-DE-TALLER-DE-LIDERAZGO--1-
87 pag.

MANUAL-DE-TALLER-DE-LIDERAZGO--1-

Programa-integral-de-seleccion-y-capacitacion-de-personal-de-seguridad-privada
187 pag.

Programa-integral-de-seleccion-y-capacitacion-de-personal-de-seguridad-privada

Propuesta-para-la-implementacion-y-seguimiento-de-acciones-de-mejora-para-la-seguridad-hospitalaria-en-instituciones-de-salud-publica
98 pag.

Propuesta-para-la-implementacion-y-seguimiento-de-acciones-de-mejora-para-la-seguridad-hospitalaria-en-instituciones-de-salud-publica

Competencias-profesionales-en-el-licenciado-en-administracion
112 pag.

Competencias-profesionales-en-el-licenciado-en-administracion

197877289-ADMINISTRACION-DEL-TIEMPO-pdf - G
104 pag.

197877289-ADMINISTRACION-DEL-TIEMPO-pdf - G