14

Vista previa del material en texto

Seguridad centrada en las personas: transformar la seguridad de su empresa
Cultura
por Lance Hayden
McGraw-Hill / Osborne. (c) 2016. Prohibida la reproducción.
Reimpreso para Carlos Gonzalez Aspajo, ISACA
gonascar@hotmail.com
Reproducido con permiso como beneficio de suscripción de Libros 24x7,
http://www.books24x7.com/
Reservados todos los derechos. Reproducción y / o distribución total o parcial en formato electrónico, papel o
Se prohíben otras formas sin permiso por escrito.
Traducido del inglés al español - www.onlinedoctranslator.com
http://www.books24x7.com/
https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Capítulo 15: El valor de seguridad de la experiencia
A lo largo de los años que gestioné los compromisos de pruebas de penetración, me encontré con un fenómeno curioso con respecto a la experiencia. La experiencia debe ser algo respetado por sí mismo. Si sabe lo que hace, ese conocimiento debe invitar al respeto de los demás. Al menos así es como se supone que funciona. Una de las 
razones por las que los consultores y especialistas (como los probadores de penetración) son contratados y pagados con tarifas especiales es la suposición de que saben más que las organizaciones que los contratan sobre sus áreas particulares de especialización. Es por eso que mi equipo de ingenieros de seguridad fue contratado de 
manera rutinaria para probar la infraestructura de seguridad de la información de los clientes en busca de vulnerabilidades. Nuestro equipo contrataría a un cliente, los ingenieros ejecutarían sus exploraciones primarias y de reconocimiento, realizarían una explotación secundaria, poseerían todos los sistemas que pudieran y luego 
informarían sobre fallas y hallazgos. La expectativa era descubrir cosas que nuestro cliente no sabía que estaban allí, porque éramos los expertos. Pero una y otra vez, a medida que comenzáramos a informar las vulnerabilidades que habíamos identificado a los grupos técnicos a cargo de la infraestructura de seguridad de la información, 
no les sorprendería. A veces, mi equipo encontraba cosas que estos grupos nos habían dicho que encontraríamos incluso antes de que comenzáramos las primeras sondas. Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación 
general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ". porque éramos los expertos. Pero una y otra vez, a medida que comenzáramos a informar 
las vulnerabilidades que habíamos identificado a los grupos técnicos a cargo de la infraestructura de seguridad de la información, no les sorprendería. A veces, mi equipo encontraba cosas que estos grupos nos habían dicho que encontraríamos incluso antes de que comenzáramos las primeras sondas. Y a menudo se alegrarían 
positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo 
problema, la gerencia tendrá que escucharnos ". porque éramos los expertos. Pero una y otra vez, a medida que comenzáramos a informar las vulnerabilidades que habíamos identificado a los grupos técnicos a cargo de la infraestructura de seguridad de la información, no les sorprendería. A veces, mi equipo encontraba cosas que estos 
grupos nos habían dicho que encontraríamos incluso antes de que comenzáramos las primeras sondas. Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero 
nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ". a medida que comenzáramos a informar las vulnerabilidades que habíamos identificado a los grupos técnicos a cargo de la infraestructura de seguridad de 
la información, no les sorprendería. A veces, mi equipo encontraba cosas que estos grupos nos habían dicho que encontraríamos incluso antes de que comenzáramos las primeras sondas. Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ". a medida que comenzáramos a informar las vulnerabilidades que habíamos identificado a los grupos técnicos a cargo de la infraestructura de seguridad de la información, no les sorprendería. A veces, mi equipo encontraba cosas que estos grupos nos habían dicho que encontraríamos incluso antes de que comenzáramos las primeras sondas. Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ". Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ". Y a menudo se alegrarían positivamente de que los ingenieros hubieran logrado entrar y poseer un sistema crítico. “Sabíamos todo sobre esto”, sería la explicación general de por qué algo tan malo los hacía sentir tan bien. “Pero nadie nos escucha. Tuvimos que pagar mucho dinero a expertos externos para probarlo. Ahora que ustedes encontraron el mismo problema, la gerencia tendrá que escucharnos ".
La experiencia no se trata solo de saber algo bien. También se trata de proximidad. Estar cerca de algo puede hacer que usted esté especialmente calificado para 
juzgarlo. Pero ser local es un arma de doble filo. Las organizaciones existen y tienen éxito gestionando un delicado equilibrio entre lo local y lo global, entre estrategia y 
táctica. Cuanto más se asciende en la jerarquía, más importante se vuelve la experiencia generalizada y generalizada. Tienes que saber un poco sobre muchas cosas 
para administrar una organización compleja y distribuida. Pero a medida que aumenta la experiencia, se tiende a perder la experiencia limitada. Una CISO que comenzó 
como una brillante ingeniera de seguridad en su día probablemente descubra que ya no tiene tiempo para concentrarse en los detalles que una vez conocía por dentro 
y por fuera. Ahora tiene un conjunto diferente de conocimientos y habilidades, más centrado en la gestión de personas y la política que en los sistemas individuales (ese 
nivel de gestión se empuja hacia los subordinados). Los organigramas son en realidad solo los planos técnicos para la delegación organizacional, mapas de los flujos de 
decisiones dentro de una empresa.
Los problemas con la eficacia empresarial comienzan cuando las jerarquías y los organigramas dejan de mapear los flujos dinámicos de información y autoridad y, en 
cambio, comienzan a mostrar solo las ubicaciones y los límites de los centros de poder. La influenciacorruptora del poder es un problema centrado en las personas en 
todas las organizaciones. El ego y la codicia pueden suplantar el deber y la responsabilidad. Cuando las personas se preocupan más por su posición y estado personal 
que por el éxito de la organización, puede producirse inestabilidad. En el caso de la seguridad de la información, esto genera incertidumbre y riesgo, especialmente 
cuando algo sale mal.
Security FORCE trata de mejorar la efectividad organizacional, particularmente frente a una crisis, poniendo en primer plano las prioridades y comportamientos que 
permiten resultados más confiables. La experiencia es demasiado importante para el desempeño de una organización como para desperdiciar su valor o limitar su 
disponibilidad cuando más se necesita.
¿Cuál es el valor de seguridad de la experiencia?
El poder y la autoridad no son cosas inherente o inevitablemente malas. Son requisitos para casi cualquier actividad colectiva a gran escala. Si todo el mundo está 
haciendo lo suyo, bajo su propia autoridad y sujeto a sus propios caprichos, entonces es solo por suerte que algo colectivo sucede. El peligro que el poder y la autoridad 
representan para las organizaciones es doble: primero, el poder individual puede volverse más valorado culturalmente que la experiencia y la responsabilidad colectivas; 
y en segundo lugar, la autoridad para tomar decisiones puede convertirse en un privilegio reservado solo para quienes tienen el poder.
Los HRSP aprovechan el valor de seguridad de la experiencia al luchar contra la necesidad de valorar el poder sobre el conocimiento y la habilidad. Reconocen que el 
poder es relativo y que la autoridad es un bien que la organización tiene que hacer un buen uso. La energía se puede administrar mal y se puede desperdiciar, al igual 
que el dinero, la electricidad o el tiempo. Cuando se optimiza, la autoridad fluye a través de la organización hacia los lugares donde se necesita, cuando se necesita. La 
experiencia define dónde y cuándo existen esas necesidades, y significa hacer que la autoridad sea más fluida para que las personas más cercanas al problema y con la 
mejor información sobre cómo abordarlo puedan tomar decisiones.
Filtre su agua, no su información
La mayoría de las personas están capacitadas desde una edad muy temprana para respetar la autoridad. Los padres, maestros y entrenadores, jefes, políticos y expertos 
profesionales de todo tipo son considerados personas a las que debemos respetar, escuchar y obedecer. Nos rebelamos contra algunos de ellos, expresamos desdén y escepticismo 
por otros, pero la mayoría de nosotros tenemos figuras de autoridad en nuestras vidas a quienes nos sometemos. Pueden tener poder directo sobre nosotros, como nuestro 
empleador, o pueden tener un tipo de poder diferente. No he vivido bajo la autoridad de mis padres desde hace mucho tiempo, pero eso no significa que todavía no puedan ejercer 
alguna parte de su autoridad sobre mí, incluso si es solo para hacerme sentir un poco culpable por no llamar o visitar más. a menudo. Y cuando me piden consejo sobre algo, incluso 
en situaciones en las que estoy totalmente en contra de lo que quieran escuchar, Me cuesta mucho dar mi opinión sin rodeos. A diferencia de mis colegas, o incluso de algunos de 
mis amigos cercanos, cuando se trata de mamá y papá, trato de no herir sus sentimientos con mi honestidad.
El problema de salvar los sentimientos de alguien al no ser completamente honesto es que no le ayuda a tomar las mejores decisiones. Al filtrar mi opinión por el bien de mi madre, las 
consecuencias suelen ser pequeñas. Puede que compre un aparato de baja calidad en contra de mi consejo porque quiere ahorrar algo de dinero. Pero en los programas de seguridad y otras 
organizaciones, filtrar la información que les doy a las personas que son superiores a mí puede tener efectos más nefastos. Puedo ser reacio a compartir o revelar malas noticias o problemas que 
creo que existen. Puedo hacer esto por muchas razones diferentes. Quizás asumo que, debido a que son altos directivos, deben ser más competentes o conocedores y ya saben lo que yo sé. Quizás 
sé que eso no es cierto y que hay un motivo real de preocupación, pero me preocupa que empujar malas noticias en la cadena de mando pueda dañar mi carrera o atraer atención no deseada. 
Cualquiera que sea la razón, y quien sea la responsabilidad de que esos filtros se impongan en primer lugar, el filtrado de información es una práctica peligrosa para cualquier organización. Que te 
digan que todo está bien, o incluso que no es tan malo como realmente es, funciona solo hasta que llega un evento o situación que expone la mentira detrás de todo el falso optimismo. Entonces 
todo el mundo es funciona solo hasta que llega un evento o situación que expone la mentira detrás de todo el falso optimismo. Entonces todo el mundo es funciona solo hasta que llega un evento 
o situación que expone la mentira detrás de todo el falso optimismo. Entonces todo el mundo es
Página 2/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
quedaba para descubrir cómo las cosas pasaron de la utopía al apocalipsis zombi de la noche a la mañana.
Autoridad estructural versus conocimiento estructural
Los HRSP intentan mitigar los riesgos que surgen cuando la experiencia y el conocimiento local son suprimidos, ya sea involuntariamente o 
por diseño, por la autoridad y el poder. Saben que la ubicación de alguien en un organigrama puede tener muy poca correlación con 
cuánto sabe esa persona sobre una situación en particular, especialmente algo como una falla en la seguridad de la información. Esperar 
que la visibilidad de un incidente de seguridad corresponda a qué tan alto se sienta alguien en la jerarquía de administración solo hace que 
sea probable que la organización esté volando relativamente a ciegas. El poder y la experiencia tienden a ser dos sistemas separados pero 
interactivos dentro de cualquier empresa. El poder, encarnado en estructuras de autoridad como títulos de trabajo, organigramas y 
cadenas de gestión, define quién puede tomar decisiones. Pericia,
Lograr un equilibrio entre la autoridad organizacional y el conocimiento organizacional a menudo es difícil. Las personas sin poder ni estatura organizativa pueden 
terminar sintiéndose (y siendo tratadas) como si fueran invisibles, incluso si saben más que nadie sobre lo que realmente está sucediendo. Y cuanto más alto asciende 
una persona en la jerarquía, más puede sentirse tentado a sentirse superior en lugar de simplemente superior. Los problemas que surgen cuando una estructura tiene 
más voz que la otra no son solo teóricos. EnManejando lo inesperado, Weick y Sutcliffe citan el informe oficial sobre los problemas en la NASA que llevaron al accidente 
que destruyó el Columbia transbordador espacial. Una causa clave de la tragedia fue que la NASA, a lo largo de los años, había desarrollado una estructura de cadena de 
mando que anulaba todas las demás fuentes de información, incluido el conocimiento técnico y la experiencia de los propios ingenieros de la NASA. Como resultado, los 
problemas fueron minimizados e ignorados hasta que se convirtieron en una catástrofe.
En un HRSP, el objetivo se convierte en no permitir nunca que la influencia de una estructura supere o supere la influencia de otra. Lo que esto suele significar en la 
práctica es proteger la experiencia y el conocimiento para que no se subordinen a la autoridad y al poder. La experiencia y el conocimiento "de las trincheras" siempre 
deben valorarse y respetarse, incluso cuando (y quizás especialmente cuando) contradice lo que piensan los líderes senior o lo que quieren escuchar. Esto se logra 
asignando a la experiencia y el conocimiento su propia marca de autoridad, el mismo tipo de autoridad que reservamos para otros especialistas y profesionales a los que 
recurrimos enla vida. Si visita a un mecánico y él le dice que necesita una nueva transmisión, o si ve a un médico y ella le dice que necesita tomar medicamentos para 
alguna enfermedad que tiene, es posible que no le gusten las noticias. Pero es poco probable que los ignore, incluso si es propietario del garaje en el que trabaja el 
mecánico o es miembro de la junta del hospital del médico. Ignorar o restar importancia a los problemas de seguridad informados por su equipo de InfoSec solo porque 
tiene suficiente poder para hacerlo es, para usar un término técnico, tonto.
De manera óptima, las decisiones en un HRSP se dirigen a los puntos donde la autoridad y la experiencia se cruzan. Pueden moverse hacia adelante y hacia atrás entre la estructura 
de conocimiento y la estructura de autoridad. En algunos casos, se trata de una respuesta rápida, como cuando los trabajadores de una fábrica pueden cerrar una línea de montaje 
si ven un problema. En otros, se trata de quién tiene la mejor visibilidad y conocimiento. Los miembros de alto nivel de una organización no carecen de su propia experiencia 
especializada, aparte de las bromas y los personajes de dibujos animados puntiagudos. Algunas decisiones pueden afectar a múltiples grupos de interesados y no deben ser 
tomadas por un técnico, sino por un político.
Bob y Clara revisitados: autoridad migratoria
Al principio del libro, presenté a Bob y Clara. Bob era el oficial de seguridad en mi conferencia de proveedores que provocó una evacuación sobre tocino quemado. 
Clara fue la desarrolladora de software que completó su proyecto a tiempo, pero más tarde descubrió que los recortes de seguridad daban como resultado una 
vulnerabilidad de seguridad en el producto de su empresa. Ambos individuos representan a expertos que tomaron decisiones. Y ambos son ejemplos de cómo y 
por qué la autoridad para tomar decisiones de seguridad particulares a menudo necesita migrar a la persona de la organización que tiene la mejor experiencia para 
tomar esa decisión.
En el caso de Bob, la autoridad se movió de la manera correcta. Bajó la cadena de mando para encontrar a la mejor persona para hacer la llamada. La 
empresa ya había pensado en estos escenarios y, al menos en el caso de la seguridad física, practicó un sistema de conjugar el poder con la pericia. Bob 
era el experto reconocido, por lo que la decisión fue suya y todos se delegaron en él, incluso los ejecutivos que dirigían el evento. El hecho de que la 
orden de evacuación de Bob resultó innecesaria fue una suerte y no vino al caso. Imagínese si uno de los vicepresidentes de la compañía hubiera 
decidido que Bob estaba exagerando y anuló su directiva en aras del tiempo, solo para que la gente resultara herida o incluso muerta en un incendio real. 
Ese escenario se parece más a lo que sucedió después de que se descubrió el documento confidencial en la sala de reuniones durante la conferencia. 
aunque sin consecuencias físicas tan espantosas. Ya sea debido a la ausencia de experiencia identificada o por alguna otra razón, la decisión de reprender 
a la audiencia y seguir adelante en lugar de investigar una falla grave en la seguridad se trasladó al ejecutivo senior en la sala, quien aparentemente no 
tenía la experiencia para reconocer la gravedad. del problema.
Para Clara, la autoridad se movió al revés. Debería haber ascendido en la cadena de mando. La decisión de Clara no fue entre terminar sus pruebas de seguridad o 
terminar el proyecto a tiempo. Ese fue solo el escenario inmediato. En cambio, Clara tuvo que decidir entre dos riesgos empresariales específicos. Un riesgo era el 
impacto en la empresa de retrasar potencialmente el lanzamiento de un producto importante. El otro riesgo era el impacto futuro en la empresa si se descubría una 
vulnerabilidad en el producto. Esos riesgos atraviesan múltiples partes interesadas y parámetros, incluidas las ramificaciones financieras, las responsabilidades 
legales y los impactos en la marca corporativa, por nombrar algunos. Clara no tenía la experiencia para tomar esa decisión, aunque por defecto tenía la autoridad. La 
experiencia para manejar las decisiones relacionadas con el riesgo empresarial es justo lo que esperaría encontrar en la alta dirección, que tiene una visibilidad más 
amplia y una mayor comprensión de las consecuencias a nivel corporativo. Pero las personas mejor posicionadas para hacer esa llamada nunca fueron informadas, 
en parte porque Clara temía que, al llevar las malas noticias a la gerencia, sería castigada en lugar de recompensada. Y así fue, junto con todos los demás, pero solo 
después de que fue demasiado tarde para pedir ayuda.
Esperando al grande
En organizaciones de algunos sectores, como la aviación comercial, la salud y el ejército, el proceso y el procedimiento pueden acercarse casi a los religiosos.
Página 3/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
estado. Las políticas, los procedimientos y las listas de verificación pueden evolucionar para cubrir casi todos los escenarios imaginables con los que la organización se ha enfrentado 
o ha podido pensar. Los miembros y empleados de estas organizaciones pueden llegar a ser tan adoctrinados en formas estandarizadas de hacer las cosas que esas formas se 
convierten en rituales inconscientes. En muchos casos esto funciona, a veces excepcionalmente bien. El libro de Atul GawandeEl manifiesto de la lista de verificación demuestra el 
lado positivo de la actividad impulsada por listas de verificación, y Gawande aboga por seguir meticulosamente los procedimientos estandarizados. Pero, ¿qué sucede cuando ocurre 
algo que nunca antes había experimentado y en lo que nunca había pensado? ¿Qué sucede cuando no hay una lista de verificación? La ironía de toda esa estandarización útil es que, 
en ciertos escenarios, puede empeorar mucho una mala situación. Cuando todo el mundo está acostumbrado a hacer las cosas exactamente de cierta manera, no poder hacerlo de 
esa manera puede causar parálisis. El sistema puede bloquearse, literal y figurativamente. La seguridad de la información lucha con este equilibrio, entre el valor indiscutible de los 
procesos definidos y los procedimientos de listas de verificación y el peligro de convertir esas mismas listas de verificación en una muleta que libera a las personas de la 
responsabilidad de pensar y adaptarse.
La burocracia es un estabilizador fantástico, como el hormigón organizativo que puede fijar procesos en su lugar para que duren décadas, 
incluso siglos. Pero el hormigón es rígido y poco adaptable una vez que se endurece. Por eso tenemos bolas de demolición. La burocracia 
también puede ser maltratada y convertida en polvo. Algunas empresas hacen precisamente eso después de un incidente de seguridad 
grave. Se despide al CISO (o se contrata a un CISO, si no lo había antes). El organigrama y las infraestructuras tecnológicas existentes 
pueden ser derribados y reemplazados. Quizás todo el programa de seguridad se traslade a otra parte de la empresa. Pero si al final de 
ese proceso todo lo que resulta es una nueva burocracia, una estructura diferente con la misma rigidez, ¿qué ha cambiado realmente? Es 
como reconstruir después de un terremoto.
Los HRSP utilizan la experiencia y la autoridad para hacer que sus organizaciones sean menos propensas a los choques, como los ingenieros estructurales usan 
aisladores de base o concreto reforzado para hacer que sus edificios sean resistentes a los terremotos. Ciertamente, existe una estructura en un HRSP. Las personas 
tienen roles y superiores y subordinados. Las políticas y los procesos definen la actividad. Pero cuando se encuentra bajo estrés, la organización se adapta al encontrar 
la combinación correcta de conocimiento y autoridad para responder. A diferencia de un edificio, donde la física y la mecánica determinan qué piezas se mueven y 
cuáles absorben,en una organización la resistencia se logra a través de procesos y redes de personas, junto con todos los conocimientos y habilidades que poseen. 
Permiten que la organización cambie y se reconfigure temporalmente, manejando el estrés y las fuerzas que encuentra sin colapsar.
El camino a Damasco
El libro de Eric Schlosser Comando y control, sobre accidentes nucleares durante la Guerra Fría, es una lectura obligada para cualquier profesional de la seguridad, 
especialmente para personas como yo que están interesadas en cómo las culturas en competencia crean riesgo. Pero más inmediatamente,Comando y control
habla del valor de seguridad de la experiencia. Al describir el incidente de 1980 en Damasco, Arkansas, un accidente mortal en un silo de misiles nucleares en 
Arkansas, Schlosser relata una historia tras otra dentro de la crisis, donde las fallas en los flujos de decisión y autoridad se sumaron al peligro y la incertidumbre del 
incidente. A lo largo del camino, la naturaleza misma del rígido sistema de mando de los militares, controlado mediante una atención meticulosa a los 
procedimientos y listas de verificación y obsesivamente deferente con la antigüedad y el rango, acumuló presiones organizativas que eran tan peligrosas como los 
vapores de combustible que causaron la explosión física.
Schlosser escribe extensamente sobre la dependencia de las tripulaciones de misiles en las listas de verificación, que definen con precisión todos los aspectos de la actividad y el 
mantenimiento de la tripulación de misiles. Abordando todos los detalles (supuestamente) imaginables del cuidado y servicio de los misiles balísticos intercontinentales de propiedad de la 
Fuerza Aérea, las listas de verificación estructuraron casi todos los aspectos de la vida de las tripulaciones de servicio. Pero cuando un enchufe de una llave de tubo que un miembro del equipo 
de mantenimiento estaba usando durante un procedimiento de rutina cayó al silo y perforó uno de los tanques de combustible del misil, la Fuerza Aérea pronto descubrió que enfrentaba una 
situación para la que no tenía una lista de verificación. Sin una lista de verificación, la tripulación de misiles y sus superiores, literalmente, no sabían qué hacer y tuvieron que empezar a 
construir una nueva lista de verificación para lidiar con una crisis en la que ya se encontraban en medio. A medida que la autoridad migró hacia arriba, los oficiales al mando se negaron a 
tomar ninguna medida hasta que la lista de verificación estuviera en su lugar y los procedimientos se establecieran una vez más. La realidad para ellos era el proceso. La neblina marrón de 
vapor de combustible que se acumulaba en el silo solo existía localmente.
En la parte inferior de la cadena de mando, algunos expertos locales se irritaban por las restricciones que se les imponían mientras observaban cómo se acumulaba el peligro en el silo minuto a minuto. En algunos casos, los 
aviadores y técnicos obedecieron las órdenes que se les dieron, algunos lo hicieron incluso cuando cuestionaron las decisiones de sus oficiales superiores. En otras ocasiones se rebelaron contra las órdenes que recibían de 
personas que estaban lejos y más preocupadas por cuestiones de relaciones públicas y política, en lugar de favorecer la experiencia local que podría salvar la vida de sus amigos y colegas. Al final, nadie salió ileso. Un miembro de 
la tripulación murió y muchos resultaron heridos, un resultado que probablemente habría sido menos catastrófico si la autoridad se hubiera delegado al nivel local. Algunos miembros de la tripulación fueron castigados porque 
asumieron la responsabilidad de ejercer la autoridad local de todos modos al ignorar las órdenes que pensaban que no tenían sentido. Todo el incidente sirvió como demostración de que simplemente no se puede planificar todo, 
que cuando se enfrenta un escenario completamente nuevo, uno en el que no existe un guión o una lista de verificación, la importancia de reconfigurar la experiencia y la autoridad organizacionales para enfrentar el nuevo 
desafío puede significar la diferencia entre la vida y muerte. Es una lección tan valiosa para los HRSP como para las tripulaciones de misiles nucleares, sin duda. La importancia de reconfigurar la experiencia y la autoridad 
organizacionales para enfrentar el nuevo desafío puede significar la diferencia entre la vida y la muerte. Es una lección tan valiosa para los HRSP como para las tripulaciones de misiles nucleares, sin duda. La importancia de 
reconfigurar la experiencia y la autoridad organizacionales para enfrentar el nuevo desafío puede significar la diferencia entre la vida y la muerte. Es una lección tan valiosa para los HRSP como para las tripulaciones de misiles 
nucleares, sin duda.
Comportamientos de valor clave de experiencia
El secreto de la experiencia organizacional es que todos la poseen. La experiencia no está limitada por el rango jerárquico, el salario o el estatus político. Ni siquiera se 
limita a una sola persona a la vez. La experiencia es una capacidad organizativa, un subproducto del capital humano. Por definición, todos en una organización son 
expertos en algo, poseen algún conocimiento especializado sobre las funciones de su trabajo que nadie más posee (excepto quizás otros que ocupan el mismo puesto). 
Esto incluso se aplica a las personas que no hacen mucho trabajo en absoluto; a menudo se necesita mucha habilidad para evitar hacer algo. Los HRSP utilizan el valor 
de seguridad de la experiencia para hacer que sus organizaciones sean más flexibles y ágiles, especialmente cuando se enfrentan a un incidente o un evento de crisis 
que no habían encontrado anteriormente.
Los HRSP quieren funcionar de forma estable y predecible como cualquier otra organización, pero durante un incidente de seguridad también quieren poder 
reconfigurarse, o al menos sus flujos de información y autoridad. En lugar de forzar lenta e ineficientemente la información hacia arriba en la cadena y retroceder las 
decisiones, la experiencia y la autoridad se combinan donde más se necesitan. Es un proceso que no se puede lograr si no está arraigado en la cultura, en el respeto y la 
confianza mutuos que superan los deseos naturales de control y poder, que es probablemente la razón por la que es uno de los más importantes.
Página 4/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
los conjuntos de comportamientos más difíciles de mantener para un HRSP a lo largo del tiempo. Los comportamientos que caracterizan el valor de seguridad de la experiencia incluyen
norte Pregunte a los expertos
Suprime los egos
Permitir que la autoridad migre 
Compartir credibilidad
Recompense las llamadas a la acción y los gritos de ayuda
norte
norte
norte
norte
Pregunte a los expertos
Por extraño que parezca, dada la gran cantidad de cobertura de los medios de comunicación sobre las brechas de seguridad de la 
información y dado el alto nivel de importancia que muchos sectores de la sociedad le dan a la seguridad de la información, regularmente 
me encuentro con situaciones en las que las personas de una organización que más saben sobre la seguridad no es a quien se le pide su 
opinión al respecto. Esto sucede a menudo no debido a una política deliberada, sino como resultado de la desconexión básica que describí 
anteriormente con respecto a la contratación de probadores de lápiz externos. Las empresas saben que tienen expertos en seguridad, 
contratados y capacitados para desempeñar esa función. Pero cuando la comunicación del conocimiento experto tiene que canalizarse a 
través de sucesivas capas de gestión, la tentación de esas capas de dar forma y controlar el mensaje puede ser abrumadora.
También hay casos en los que a los expertos no se les pide su opinión porque su experiencia es, o parece ser, tan operativa o especializada que la 
mayoría de la gente no puedeo no la entiende. Es parte de la naturaleza humana minimizar la importancia de las cosas que no comprendemos 
completamente, así como pretender que sabemos más sobre ellas de lo que sabemos cuando tomamos nuestras decisiones. Corta en ambos 
sentidos. He hablado con ingenieros y administradores de seguridad que están convencidos de que los altos directivos son "trajes despistados" que 
no tienen por qué dirigir una empresa porque no conocen las respuestas "obvias" a los problemas de seguridad de la información. Si el ingeniero 
de seguridad o el administrador pueden ver el problema con tanta claridad, ¿cómo no puede el ejecutivo? Desde el punto de vista del ejecutivo, el 
ingeniero o administrador puede parecer un especialista parroquial,
En un HRSP, la experiencia se valora por sí misma y forma la capacidad cognitiva de la organización para hacer frente a las fallas, las 
operaciones, la resiliencia y, especialmente, la complejidad que deben gestionarse para crear una seguridad eficaz. Los HRSP siempre 
están tratando de encontrar nuevas fuentes de experiencia y averiguar lo que saben. En los niveles más altos de la burocracia, eso significa 
comprender las diferentes posiciones y requisitos de las partes interesadas para adaptar mejor la seguridad al negocio. En los niveles 
inferiores, significa identificar quién puede decirle más sobre lo que sea que necesite saber, independientemente del rango o influencia 
política de esa persona. Si la persona es el analista de parches que comprende todas las cosas que pueden salir mal actualizando incluso el 
software vulnerable, el guardia de seguridad que sabe qué entradas son más susceptibles a la persecución,
Suprime los Egos
Naturalmente, algunas organizaciones son más igualitarias que otras. En el mejor de los casos, la idea de unirnos como equipo no es solo un cliché.Eso no significa 
necesariamente que no exista una jerarquía organizativa o de rango, aunque las empresas también han experimentado con seguir ese camino. Fomentar un entorno 
laboral más comunitario está de moda en estos días, lo que incluye enfoques como la adopción de planos de planta abiertos, el abandono de las revisiones de 
desempeño y el lanzamiento de campañas internas para crear un sentido de comunidad e incluso de familia dentro de la organización. A veces, estos enfoques son 
menos que sinceros y no siempre funcionan, incluso cuando son sinceros, pero su creciente popularidad refleja un sentido de que promover la confianza y un sentido 
de propósito compartido agrega valor empresarial.
La igualdad no significa que a todos se les pague el mismo salario, que tengan el mismo puesto de trabajo o que no tengan que recibir 
órdenes de nadie más. Más bien, la igualdad significa que nadie en la organización se considera más vital que los demás. Un cliente me 
contó una gran anécdota que ilustra esto a la perfección, sobre una reunión en la que el CEO del cliente discutió un nuevo plan de 
compensación. Con el nuevo plan, la cantidad de empleados que reciben bonificaciones se ampliará considerablemente. Un empleado 
expresó cierta preocupación por el hecho de que la empresa recompensaba a las personas que no tenían nada que ver con el negocio 
principal y que no merecían la misma bonificación que las personas en roles más críticos para la misión. El CEO respondió levantando la 
mano para mostrar el reloj en su muñeca,
Deshacerse del egoísmo en los negocios es como deshacerse de las vulnerabilidades de seguridad en el software comercial: un objetivo admirable pero no muy realista. 
Los HRSP no intentan suprimir el ego por completo o desalentar el orgullo por los logros individuales, pero entienden que el egoísmo puede llevar a la arrogancia y la 
arrogancia puede empeorar exponencialmente un problema de seguridad. Nadie en una organización moderna estáresponsable de todo el éxito, no importa lo 
talentosos que sean. Los HRSP intentan hacer realidad otro cliché, que la seguridad es para todos 's responsabilidad. Muchas organizaciones invocan esta frase cuando 
quieren enfatizar que todos tienen que seguir las políticas de seguridad sin importar el puesto que ocupen o donde trabajen. Los HRSP utilizan la frase como un mantra 
que refleja el valor de seguridad de la experiencia. Si sabe más sobre su trabajo individual que cualquier otra persona en la organización, entonces es quien mejor 
conoce cómo funciona la seguridad en el contexto de ese trabajo. El valor de seguridad de la experiencia significa que usted tiene la responsabilidad de compartir su 
conocimiento con el resto de la empresa y que otras personas tienen la responsabilidad de respetar lo que sabe y solicitar su conocimiento. No importa si esa persona 
es su colega en el cubo de al lado o el presidente de la junta.
Permitir que la autoridad migre
Página 5/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Hay algunos requisitos previos para el comportamiento clave de permitir que la autoridad migre dentro de la organización: saber dónde existe la experiencia 
y pedir ayuda a quienes la poseen, y suprimir el egoísmo que podría dificultar esas solicitudes. Una vez más, es importante diferenciar entre una estructura 
de autoridad completamente abierta, donde la experiencia de uno define el poder de uno, y una estructura adaptable, donde la organización puede aflojar 
deliberadamente los controles y liberar la autoridad de decisión si es necesario. Los HRSP no tienen que ser más democráticos que cualquier otro programa 
de seguridad. Lo que hacen mejor es reconocer que hay algunos escenarios, generalmente eventos de seguridad que cambian el orden normal de las cosas. 
donde una jerarquía rígida de comando y control no es el mejor enfoque y es más probable que agrave la situación. En estos casos, la organización se 
reestructura temporalmente para afrontar los nuevos retos. La autoridad va a donde va a ser de uso más inmediato, y la experiencia define dónde está eso.
Permitir que la autoridad migre significa que, bajo ciertas circunstancias, la autoridad de decisión real se delegará en otro lugar dentro de la organización, 
generalmente hacia abajo, a las personas y equipos más cercanos a los sistemas afectados. Para la seguridad de la información, esto podría significar poner mucho más 
poder en manos del CISO para responder de manera proactiva a un incidente. Aún más probable, significa permitir que los gerentes de primera línea y los equipos de 
ingeniería tomen decisiones ejecutivas sobre lo que se debe hacer en una crisis. En estas circunstancias desafiantes, los líderes senior se mantendrán en contacto 
constante, ofreciendo su apoyo y cualquier consejo que puedan brindar, pero se mantendrán al margen mientras las personas más cercanas al trabajo toman las 
decisiones. Para muchas organizaciones, solo la sugerencia de este arreglo es suficiente para incomodar a la gente, pero una y otra vez, desde la NASA hasta los 
equipos de misiles nucleares y las empresas comerciales, cuando los líderes superiores insisten en la microgestión de los escenarios de crisis fluida e inmediata, los 
resultados rara vez son buenos. El tiempo simplemente no se permite el lujo de enviar información sobre lo que está sucediendo a lo largo de la cadena de mando. A 
menudo, cuando un dato llega a un punto en el que alguien puede tomar una decisión, la situación ha cambiado de nuevo y esa decisión ya no tiene sentido.
La clave para unir la autoridad con la experiencia en la empresa es identificar a los expertos en la materia que puede necesitar antes de que ocurra la crisis, de modo 
que buscar a las personas adecuadas para tomar el timón no sea una cuestión de adivinanzas a ciegas o de suerte en el sorteo. en medio de circunstancias extremas. Y 
los líderes senior no solo entregan las riendas y dicen "llámame cuando hayas terminado". Se mantienen al tanto de la situación y la monitorean, preparándosepara 
cuando las circunstancias requieran autoridad para regresar a ellos. Durante un incidente de seguridad, probablemente no desee que el director ejecutivo decida si un 
servidor en particular debe desconectarse o no, más de lo que desea que el administrador del servidor haga la llamada sobre si debe o no alertar a la prensa.
Comparte credibilidad
La autoridad y la credibilidad están estrechamente ligadas. Aquellos sin lo último tienden a perder lo primero. Los HRSP hacen todo lo posible para garantizar que la experiencia sea 
reconocida y respetada en toda la organización, que traiga consigo la credibilidad necesaria para que las personas acepten que una persona designada puede recibir autoridad de 
manera segura durante un incidente o evento. Asegurar que la experiencia sea reconocida y respetada se logra en parte poniendo esfuerzo y recursos en la construcción de capital 
humano, como ya he comentado anteriormente. La formación, las habilidades y la experiencia de las personas deben ser reconocidas y respaldadas oficialmente para que esto 
funcione. En una crisis, las personas de todos los niveles de la organización deben confiar en que sus compañeros no solo están dispuestos a ayudar, sino que también tienen la 
capacidad de ayudar. Si un grupo piensa que otro grupo es incompetente, La probabilidad de que el primer grupo siga el ejemplo del segundo grupo es baja cuando se avecina un 
desastre. En mi relato del incendio de Mann Gulch en el capítulo 13, describí cómo varios de los saltadores de humo se opusieron a la orden del capataz de iniciar otro fuego, 
acostarse y dejar que pasara sobre ellos. Debido a que el equipo no había trabajado en conjunto de manera extensiva, el capataz carecía de credibilidad a pesar de su amplia 
experiencia, y no ceder ante su experiencia superior costó la vida a varios hombres.
No existe un proceso sencillo para compartir la credibilidad dentro de una organización. Es un rasgo cultural, definido primero por la creencia de que la experiencia 
significa algo importante para la empresa, y luego por que todos demuestren un nivel saludable de respeto y deferencia hacia quienes poseen la experiencia. Dado que 
todos poseen algún nivel de experiencia especializada, esto significa que la deferencia tiene que convertirse en algo así como un atributo universal. Debe nutrirse y 
reforzarse constantemente mediante la acción y el ejemplo. Esto se puede lograr más fácilmente en empresas más pequeñas, o incluso en empresas familiares, donde 
el sentido de participación personal es más una característica de la vida cotidiana que en las empresas públicas. Pero toda organización que desee ser altamente 
confiable necesita un nivel de deferencia hacia la experiencia. Si no se puede lograr mediante apelaciones emocionales, debe realizarse de manera estructural, 
incorporada en reuniones, revisiones de desempeño y programas de capacitación. Cuando todo va al infierno, lo último que la organización puede permitirse es que la 
gente se pregunte si las personas que están mejor posicionadas para hacer el trabajo son las mejores para el trabajo.
Recompense los llamados a la acción y los gritos de ayuda
Parte del valor de seguridad de la experiencia tanto para las personas como para las organizaciones proviene de saber qué experiencia tiene y qué conocimiento le falta, 
y luego reaccionar de manera adecuada en el momento. Los HRSP hacen todo lo posible para recompensar no solo a los equipos y a las personas que toman medidas 
en función de su experiencia, sino también a las personas que se dan cuenta de que la autoridad debe migrar y, por lo tanto, pedir ayuda a otros. Al igual que los otros 
comportamientos clave, saber cuándo actuar y cuándo ceder ante los demás requiere tanto una sólida conciencia de dónde existen conocimientos y experiencia dentro 
de la organización como la capacidad de decidir qué situaciones requieren qué tipo de autoridad. La confianza y la credibilidad son cruciales aquí, porque no todas las 
decisiones en medio de una situación fluida serán las mejores. La verdadera pregunta no es si una decisión fue correcta o no, pero si lo hizo la persona adecuada. 
Cualquiera puede equivocarse, incluso un experto, pero migrar la autoridad al experto adecuado para tomar una decisión aumentará las probabilidades de que la 
organización elija el mejor camino a seguir. No hay mayor prueba de carácter para un HRSP que recompensar a alguien por tomar la decisión equivocada en el 
momento adecuado.
Tendemos a reservar nuestra admiración y respeto por las personas que se hacen cargo en una crisis, mostrando su fuerza y temple cuando 
otros a su alrededor están en pánico. Pero el juego audaz no siempre es el inteligente. El egoísmo y la arrogancia pueden convertir el heroísmo en 
temeridad tan fácilmente como el miedo y la falta de confianza pueden paralizar. Ambas son respuestas irracionales y ninguna obtiene grandes 
resultados. Los HRSP esperan que la organización se mantenga equilibrada. A veces eso significa cargar hacia adelante, pero también puede 
significar retroceder y solicitar refuerzos. Los HRSP se reservan sus elogios y recompensas para los momentos en que la experiencia y la autoridad 
se alinean adecuadamente y se utilizan para resolver un problema o una falla. Las medidas de éxito tienen mucho menos que ver con las 
personalidades individuales y más con lo que es probable que produzca el mejor resultado para todo el sistema.
Página 6/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
y pedir ayuda a otra persona a menudo requiere mucho más coraje que seguir adelante por su cuenta. Los líderes superiores pueden ser especialmente propensos a tomar el 
último curso, a menudo porque temen dañar la formidable reputación que han construido durante muchos años. Pero lo que hace que los HRSP funcionen de manera diferente a 
otros equipos de seguridad es exactamente su capacidad para anteponer la seguridad y la estabilidad de la empresa a las inseguridades individuales o preocupaciones personales.
"Estamos cambiando el mundo"
Uno de mis libros favoritos sobre estudios de políticas es el de James Scott. Ver como un estado. Scott, un politólogo y antropólogo de Yale, se propone describir 
por qué tantos de los intentos a gran escala de ingeniería social en el siglo XX fracasaron, a menudo terriblemente. Enormes proyectos colectivos, a veces de 
regímenes autoritarios con un control casi total de sus ciudadanos, han intentado transformar naciones enteras en períodos de tiempo relativamente cortos. Desde 
la Unión Soviética hasta China, y desde Tanzania hasta Brasil, los países han tratado de colectivizarse, industrializarse y crear ciudades y sociedades enteras de la 
nada.
Cuando estos proyectos no funcionaron, los resultados variaron desde el fracaso meramente épico hasta el horror completo, incluyendo el hambre, el 
desplazamiento y el sufrimiento a gran escala. Algunas naciones retrocedieron una generación como resultado de la arrogancia y la determinación de 
sus líderes de crear o recrear una utopía nacional. Incluso cuando los resultados fueron menos desastrosos y el resultado se limitó a proyectos de 
ingeniería y civiles fallidos que nunca parecieron llevarse a cabo, los costos siguieron siendo enormes. Para Scott, la causa de estos proyectos fallidos de 
construcción de la nación fue bastante simple. Los estados, ya sean encarnados por un dictador o un gobierno, se convierten en víctimas de su propia 
gran visión cuando pierden la conexión entre esa visión y el conocimiento y la práctica cotidianos de las masas de personas que realmente componen el 
estado.metis, y representaba las habilidades y experiencias comunes y cotidianas de los individuos. En el contexto de los HRSP, la experiencia es bastante 
similar a la metis, y las organizaciones la descuidan bajo su propio riesgo.
Afortunadamente, muchos de los esquemascolectivistas masivos del siglo pasado parecen ser productos de su tiempo y lugar. Pero eso no significa que hayamos 
resuelto el problema. El siglo XXI ha visto su parte de grandes errores de ingeniería social, tanto a nivel de países como de organizaciones, algunos de los cuales se 
hacen eco de los choques entre la teoría y la práctica descritos enVer como un estado. En el peor de los casos, el resultado es una guerra, inestabilidad regional y 
crisis financieras mundiales. Pero las cosas no tienen por qué ponerse tan mal para ver las causas y los efectos generales de Scott a menor escala en 
reorganizaciones, adquisiciones e implementaciones empresariales fallidas que, de alguna manera, siempre parecen funcionar mejor en papel que en la vida real. A 
menudo, la razón por la que estos proyectos fracasan y arden es la misma desconexión entre autoridad y conocimiento, entre experiencia local y de alto nivel, que 
he discutido en este capítulo. Los edificios que se construyen no son lo suficientemente flexibles y adaptables para resistir los temblores y los golpes que deben 
soportar, un destino que los HRSP intentan evitar aprovechando el valor de seguridad de la experiencia.
Evaluación de los comportamientos de valor de su experiencia
Utilice Security FORCE Survey y Security FORCE Metrics para determinar qué tan bien se adhiere su organización a los comportamientos de valor de experiencia 
clave y para proporcionar evidencia empírica de esos comportamientos.
Calificación de la Encuesta de Comportamiento de Valor de Experiencia
La encuesta Security FORCE incluye declaraciones relacionadas con el valor de seguridad de la experiencia. Las cinco declaraciones bajo Valor de seguridad de la experiencia se 
enumeran en la muestra de la Encuesta FORCE que se muestra enFigura 15-1. Al igual que en los capítulos anteriores, la puntuación asume respuestas Likert normalizadas en una 
escala de 1 a 5:
norte Una puntuación promedio de 4 o más (la mayoría de las respuestas indican de acuerdo o totalmente de acuerdo) significa que la organización exhibe comportamientos encontrados
en un HRSP.
norte Una puntuación promedio de 3 (la mayoría de las respuestas indican que el encuestado se sintió neutral) significa que la organización puede o no comportarse como una
HRSP.
norte Una puntuación promedio de 2 o menos (la mayoría de las respuestas indican en desacuerdo o muy en desacuerdo) significa que la organización no exhibe el
comportamientos encontrados en un HRSP.
Página 7/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Figura 15-1: Declaraciones de la encuesta de valor de FORCE para comportamientos de valor de experiencia
Para los comportamientos de valor de la experiencia, una puntuación promedio de 4 o más indica que la organización se comporta de manera que permitirá que la 
autoridad migre y se una a la experiencia necesaria para tomar decisiones efectivas bajo estrés. Una puntuación de 2 o menos indica que la organización no se 
comporta como un HRSP y es más probable que experimente problemas de rigidez burocrática o falta de adaptabilidad que mantiene la experiencia necesaria para 
comprender un problema separada de la autoridad necesaria para actuar sobre él.
Métricas de valor de FORCE para la experiencia
Las métricas de valor de FORCE para la experiencia, que proporcionan medidas adicionales de alineación del comportamiento de HRSP, se pueden encontrar en Figura 15-2.
Figura 15-2: Métricas de valor de FORCE para comportamientos de valor de experiencia
Uso de las métricas de valor de experiencia de FORCE
Las cinco métricas de FUERZA asociadas con el valor de la experiencia describen el éxito de una organización a la hora de garantizar que el conocimiento experto se identifique, 
gestione eficazmente y se combine con el poder de actuar localmente cuando se requiere la toma de decisiones en una situación determinada. Realizan un seguimiento de la 
ubicación de la experiencia y las rutas de migración de la autoridad y, cuando estas cosas no existen, ofrecen información sobre cómo aumentar el valor de la experiencia para el 
programa InfoSec. Al igual que con todas las Métricas de FORCE, estas mediciones e indicadores son sugerencias y no exhaustivas, y deben usarse, adaptarse o complementarse 
según corresponda.
Número de repositorios formales de conocimientos o habilidades establecidos Una organización no puede esperar trasladar la autoridad a los tomadores de decisiones 
correctos.si no sabe dónde existen actualmente la experiencia, el conocimiento o las habilidades especializadas. Los repositorios de conocimientos y habilidades son a menudo el 
dominio de los profesionales de la gestión del conocimiento empresarial, y estos grupos son un gran lugar para comenzar si el programa de seguridad de la información está 
comenzando de nuevo. En su forma más simple, estos repositorios son simplemente listas y bases de datos de los conocimientos y habilidades que existen actualmente dentro de 
una organización. Las fuentes pueden incluir registros de formación y educación, descripciones de puestos de trabajo o repositorios autoseleccionados y de fuentes colectivas (un 
empleador anterior mío, por ejemplo, permitió que todos en el directorio corporativo agregaran sus habilidades y conocimientos a sus perfiles de directorio, luego hizo esto 
información que se puede buscar como parte del directorio).
Número de personas con responsabilidades de seguridad escritas en sus descripciones de trabajo Nada dice "Soy responsable de esto… ” como escribirlo explícitamente en 
la descripción del trabajo. Para el equipo de seguridad de la información, es probable que estas inclusiones se den por sentadas. De hecho, si InfoSec
Página 8/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
El programa no obtiene un puntaje del 100% en esta métrica, entonces ese puede ser el primer lugar para comenzar. Pero la organización no debería 
quedarse ahí. Cualquier persona responsable de la gestión de la tecnología debería tener algo sobre seguridad integrado en los requisitos de su trabajo. A 
medida que la cultura de seguridad empresarial madura, las responsabilidades de seguridad deberían generalizarse y ser más específicas en todas las 
descripciones de puestos, reemplazando la práctica actual de responsabilizar a las personas de recibir capacitación en seguridad periódicamente, que no es 
lo mismo. El punto es lograr algo más que la rendición de cuentas. Si una empresa responsabiliza a un empleado de algún aspecto de la seguridad de la 
información como requisito laboral, asume la responsabilidad de asegurarse de que el empleado esté capacitado para realizar ese trabajo. Cuanto más 
específicas y completas sean estas responsabilidades,
Número de escenarios de "respuesta rápida" identificados con toma de decisiones acelerada Esta medida recopila datos sobre cómo
Existen muchas “vías rápidas de decisión” dentro de la organización. Un escenario de respuesta rápida es aquel que ya ha sido identificado 
y analizado de tal manera que, en caso de que ocurra, la autoridad migra inmediatamente a un lugar predeterminado de experiencia, ya 
sea un grupo, un rol funcional o un individuo. Piense en estos escenarios como estructuras paralelas a los escenarios de incidentes o 
desastres que crea la organización en anticipación a los eventos de seguridad. De hecho, un escenario de respuesta rápida puede ser tan 
básico como un anexo a un incidente o escenario de desastre existente que especifique cómo migra la autoridad durante ese incidente. 
Una aplicación útil de esta métrica es determinar cuánta coordinación tendrá que hacer una organización en caso de que ocurra un 
incidente de seguridad. Si no se ha establecido un carril rápido de antemano,
Númerode propietarios de decisiones para la seguridad asignados formalmente durante el último año Un indicador corolario vinculado 
tanto a la asignación deresponsabilidades de seguridad y la asignación de propiedad de activos y riesgos, los propietarios de decisiones se definen 
como las personas en una organización con la autoridad para tomar medidas en respuesta a un evento de seguridad. Los dueños de las decisiones 
pueden ser locales, por ejemplo, un administrador del sistema con la autoridad para restringir inmediatamente el acceso de una cuenta de usuario 
no reconocida en su máquina. O pueden estar más alejados del incidente inmediato pero local a otras preocupaciones, como el abogado general de 
la empresa, quien es responsable de decidir cuándo la organización notifica a las autoridades o al público sobre la brecha de seguridad que 
representa la cuenta de usuario desconocido. El propósito de esta métrica es capturar y hacer disponible donde existen estos puntos de decisión. Si 
no se asignan propietarios de decisiones,
Número de actividades o proyectos multifuncionales relacionados con la seguridad en el último año (iniciados internamente por 
el programa de seguridad de la información o externamente por otras partes interesadas) Esta medida evalúa el intercambio y la 
coordinación de conocimientos especializados tanto dentro de InfoSecy entre InfoSec y otros grupos y funciones de la organización o 
más allá (socios, proveedores, reguladores, etc.) Las actividades interfuncionales son aquellas desarrolladas con la intención de fomentar 
la exploración y el intercambio de experiencia entre diferentes unidades. Pueden ser sesiones de capacitación o talleres de intercambio 
de conocimientos, pero el énfasis debe estar en que dos o más grupos diferentes se reúnan para compartir conocimientos, no un grupo 
que difunda contenido o enseñe a otro. Estas últimas actividades, aunque útiles, no fomentan el intercambio bidireccional de información 
que facilita el valor de la experiencia. Los conocimientos interfuncionales se obtienen cuando todos los grupos presentes tienen la 
oportunidad de desafiar y colaborar entre sí como socios iguales. Pero estas actividades no tienen por qué ser demasiado formales o 
onerosas.
Mejorar sus comportamientos de valor de experiencia
Todos los valores de Security FORCE tienen componentes psicológicos, requisitos de que los miembros de una organización cambien la forma en que piensan sobre 
sus valores para lograr una seguridad más confiable. Pero aceptar el valor de seguridad de la experiencia puede ser difícil de fomentar de manera conductual, ya que 
desafía la forma en que nos vemos a nosotros mismos y comparamos nuestro propio sentido de valor con el de los demás. Como valor de FUERZA, aprovechar el valor 
de seguridad de la experiencia significa hacer frente a la idea de que algunas personas son más inteligentes y más capaces que usted, y que pueden estar mejor 
posicionadas para el éxito en determinadas situaciones. También significa aceptar que, en otras situaciones, la persona más inteligente y capaz de la sala puede ser 
usted, lo que puede ser una perspectiva igualmente aterradora.
Sin embargo, cuando la emoción se saca de la ecuación, la lógica se vuelve muy simple. La respuesta durante una crisis de cualquier tipo, incluidos los incidentes de 
seguridad, requiere una combinación de conocimiento sobre las circunstancias y el poder de actuar sobre la información sobre el problema. Las ineficiencias que 
resultan de tener que negociar entre las personas que tienen el conocimiento y las personas que tienen el poder degradan la capacidad de respuesta del sistema en su 
conjunto; por lo tanto, negociaciones de este tipo son inequívocamente malas si reducen el tiempo de respuesta y la eficacia, o empeoran las cosas. Es un problema 
exclusivamente humano, que se encuentra solo en sistemas sociales complejos donde el ego y las agendas personales deben tenerse en cuenta en la mezcla. No es un 
problema que encontremos en los sistemas tecnológicos, donde los componentes de software y hardware conocen su lugar y funcionan sin impedimentos por el ego o 
la política. La programación organizacional, como la cultura, es más complicada, por lo que nuestras soluciones también deben ser más sofisticadas.
Incorporar el valor de la experiencia en el programa de seguridad
La construcción de mejores conductos entre los flujos de experiencia y autoridad requiere una combinación de proceso, cultura y el deseo de los miembros de una 
organización de superar las barreras para su propio éxito. Como hemos visto, las acciones y decisiones ocurren de manera más eficiente cuando se han convertido en 
un hábito. Por lo tanto, los HRSP intentan crear hábitos de comportamiento que faciliten el intercambio de experiencia, credibilidad y autoridad. Pero también se 
enfocan en promover los valores culturales que permiten que esos hábitos se arraiguen. Esta combinación puede ser difícil de acertar, pero cuando se logra, el 
resultado puede ser sorprendente: una organización que tiene una estructura clara de comando y control en condiciones normales, pero que es capaz de 
reconfigurarse rápidamente en una crisis, como en algún tipo de situación. de material avanzado, adaptándose al estrés, cambiando la fuerza y la reacción a donde 
más se necesita,
Convierta a todos en un sensor
Tengo varios sensores humildes en mi casa. Mis detectores de humo son aparatos básicos de bajo costo diseñados para ser casi invisibles.
Página 9/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
PeopleCentric Security: Transformando su cultura de seguridad empresarial
Temporizadores y alarmas de todo tipo están esparcidos por toda mi casa. Incluso el gas natural con el que uso para cocinar está incrustado con pequeñas moléculas 
de químico, probablemente metil mercaptano, que le dan al gas, que de otro modo sería inodoro, su familiar olor a azufre que me alerta de una fuga (aunque 
técnicamente, en este caso, mi nariz se convierte en el sensor). ). Soy mucho más poderoso y evolucionado que cualquiera de estos dispositivos. Pero cuando se 
activan, al instante exigen toda mi atención. Bajo ciertas circunstancias, dependo de ellos por su experiencia.
Los HRSP toman esa idea y la ejecutan. A Lance Spitzner le gusta hablar de “sensores humanos” dentro de la organización, y creo que es una gran analogía, una que 
también se ha explorado en toda la literatura de investigación de HRO. Las personas son los sensores más sofisticados que cualquier organización esperará desplegar, 
capaces de mucho más que la lógica de activación de estímulos relativamente tonta de incluso sensores tecnológicos sofisticados. Una organización que se preocupa por 
el valor de seguridad de la experiencia nunca ignorará ninguna fuente potencial de datos útiles. No le importará dónde se encuentra esa fuente en el orden jerárquico, 
siempre que esté cerca de la acción en una situación determinada. El desafío que le preocupa a un HRSP es cómo consultar todos estos sensores de manera efectiva, 
cómo encontrar la experiencia, preguntar a esos expertos qué está sucediendo,
Crear carriles rápidos de decisión
La información necesita viajar. Incluso hablamos de tuberías, conductos y carreteras de información. Cuando se congestionan o se erigen obstáculos, para 
ampliar la metáfora, la comunicación se rompe. Las decisiones son solo una forma especializada de información. Sabiendo que pueden enfrentar escenarios 
en los que la distancia entre el conocimiento y la autoridad debe colapsar rápidamente, los HRSP intentan crear atajos con anticipación, como rutas de 
evacuación o carriles HOV en el mundo físico. Como resultado de otros comportamientos de Security FORCE, la organización ya habrá considerado muchos 
escenarios de falla, y parte de esas consideraciones serán los planes y las capacidades para unir rápidamente la experiencia con el poder. Al predefinir 
contingencias en lasque migrará la autoridad, la organización obtiene un salto inmediato sobre las cosas. Como ya mencioné antes, no se trata de que la 
alta dirección se retire de la ecuación. Durante un incidente de seguridad o cualquier otra crisis, los líderes organizacionales en un HRSP permanecerán 
íntimamente involucrados, pero en un rol de apoyo hasta el momento en que se deba tomar una decisión que requiera su propia experiencia personal.
Gran parte de la discusión sobre la migración de autoridad implica un movimiento de arriba hacia abajo, porque el poder tiende a concentrarse en los niveles más altos del 
organigrama. Pero es posible que la autoridad también deba fluir hacia arriba, especialmente en los casos en que los tomadores de decisiones de nivel inferior pueden no tener 
todos los datos generales necesarios para tomar decisiones que tienen ramificaciones más grandes o más políticas. En estos casos, las vías rápidas de decisión deberán superar 
diferentes obstáculos. En lugar de convencer a los gerentes de que cedan el poder temporalmente a quienes están más abajo en la jerarquía, la migración de autoridad ascendente a 
menudo tiene que superar el filtrado de información y la supresión de malas noticias que impide que los líderes senior comprendan los riesgos que pueden enfrentar.
Valorar la experiencia de arriba hacia abajo
El valor de seguridad de la experiencia a menudo resalta lo que sucede en los extremos inferiores del organigrama, pero la verdad es que 
aprovechar ese valor comienza con los líderes senior de la empresa. Una de las mejores cosas que puede hacer un líder es aceptar su propia 
relativa impotencia e ignorancia sobre gran parte de lo que sucede en su entorno. Dar un ejemplo humilde a los demás, especialmente a los 
subordinados, puede ser difícil. Muchas de nuestras formas tradicionales de pensar sobre los negocios ponen al individualismo en un pedestal. 
Pero al igual que el hogar del rey de Percy Shelley, Ozymandias, el desierto está plagado de pedestales rotos y los restos de imperios que alguna 
vez fueron invencibles. El mito del CEO indispensable ha sido completamente destruido. Incluso los mejores líderes ejecutivos logran lo que hacen 
solo porque lo hacen en asociación con otros.
Anteriormente en el capítulo hice referencia a Schlosser Comando y control, con sus descripciones de dinámicas de poder disfuncionales de la Fuerza Aérea que 
contribuyeron a que un grave accidente se volviera casi literalmente nuclear. Permítanme terminar el capítulo señalando que el ejército es también uno de los mejores 
ejemplos de una organización que vive y, a veces, muere por el valor de la experiencia. A pesar del accidente de Damasco, el ejército de Estados Unidos organiza algunos 
de los matrimonios de conocimiento y autoridad más eficientes que se puedan imaginar, y cualquier buen general sabe que a veces hay que depender del hecho de que 
el escuadrón en el terreno es el único que puede tomar la decisión. y luego déjelos hacerlo.
Otras lecturas
norte Gawande, Atul. El manifiesto de la lista de verificación: cómo hacer las cosas bien. Nueva York: Metropolitan Books, 2009.
norte Schlosser, Eric. Mando y control: armas nucleares, el incidente de Damasco y la ilusión de seguridad. Nueva York: The Penguin Press, 
2013.
norte Scott, James C. Ver como un estado: cómo han fracasado ciertos esquemas para mejorar la condición humana. New Haven, CT: Yale 
University Press, 1998.
Página 10/10
McGrawHill / Osborne, McGrawHill Education (c) 2016, Prohibida la copiaReimpreso para isaca \ 599122, ISACA
	Chapter 15: The Security Value of Expertise
	What Is the Security Value of Expertise?
	Expertise Key Value Behaviors
	Assessing Your Expertise Value Behaviors
	Improving Your Expertise Value Behaviors
	Further Reading