SEG_GRUPO2_TALLER 11

Vista previa del material en texto

TEMA
 
 
 
 
 
Grupo 02
Taller 11: Seguridad centrada en las personas: transformar la seguridad de su empresa Cultura
Cultura
Cultura
Cultura
PROFESOR: 	ING. CARLOS GONZALEZ ASPAJO
CURSO: 	SEGURIDAD INFORMÁTICA 
ALUMNOS: 	
· Harold Daniel Hidalgo Paredes
· Victor Ivan Cabrera Armas
· Allison Stefani Pacaya Álvarez
· Jhunior Isaias Obregón Rios
· Rodrigo Gonzalo Torres Mendoza
· Segundo García Flores
CUESTIONARIO
1. ¿Qué es el fracaso y por qué se dice que no puede ser una opción para la seguridad?
Respuesta: El fracaso es un concepto simple donde eliminamos los juicios morales y culturales que hacen que el fracaso sea algo de lo que avergonzarse, lo contrario de un éxito del que enorgullecerse. En otras palabras, el fracaso es el resultado cuando algo no funciona como se supone o no se espera que funcione. Es un estado, no un defecto de carácter. En organizaciones de alta confiabilidad (HRO), falla es un término asociado con el desempeño de un sistema y si ese desempeño es consistente y confiable. En un Programa de seguridad altamente confiable (HRSP), que es el equivalente de InfoSec de un HRO y el objetivo de la mayoría de los CISO, ese sistema puede ser una máquina o proceso específico, o puede ser el programa de seguridad completo. El software tiene errores que se descubren. Los programas de seguridad son aún más complejos. Lo único seguro en un sistema de seguridad es que, tarde o temprano, algo va a fallar. La mayoría de las fallas ocurren como parte de un proceso continuo de descomposición y degradación, el estado del sistema se vuelve lenta y silenciosamente más débil y menos estable hasta que ya no es capaz de soportar las presiones de su entorno. Ese fracaso final y completo, el que rompe el sistema y que todos notan, ciertamente puede ser una sorpresa desagradable. Pero eso no significa que nadie podría haberlo visto venir, si hubiera buscado señales y pistas antes.
2. ¿Qué son los comportamientos de valor clave de falla y cuáles son? 
Respuesta: Es un conjunto medible de prioridades y actividades que permitirán a una organización aprovechar el fracaso como una experiencia de aprendizaje y un recurso, en lugar de esperar lo catastrófico y brutal auditoría que trae interrupciones y destrucción al sistema. Estos comportamientos no son difíciles de entender o incluso implementar, dados los beneficios que pueden brindar. Estos pueden ser:
· ANTICIPA FALLAS.
La mayoría de los profesionales de la seguridad de la información se preocupan. Sabemos que muchas cosas pueden salir mal y nos preocupamos por lo que podría salir mal. Anticipar ese mismo evento significa que usted saber sucederá, y simplemente estás esperando que suceda, más o menos cómodamente. Cuando te preocupa que algo pueda suceder, esa imagen mental se sienta en una tensión equilibrada con la posibilidad de que tal vez no suceda, lo que puede hacerte más complaciente. No puede estar seguro, por lo que puede dudar en actuar. Puede que no evite el incidente, pero ya no podrá darse el lujo de preguntarse si ocurrirá o no. La anticipación genera acción de maneras que el miedo, la incertidumbre y la duda no. Incluso la mayoría de las evaluaciones de riesgos que se realizan hoy en día son más una función de preocupación que de anticipación.
· BUSQUE PROBLEMAS.
Las evaluaciones de riesgo, las pruebas de penetración, las revisiones de código y las auditorías contribuyen a la búsqueda de fallas de seguridad y al esfuerzo por prevenir fallas mayores en el futuro. Pero la verdad es que la mayoría de las organizaciones no lo están haciendo lo suficiente, de la manera correcta o por las razones correctas para calificar como Programas de seguridad altamente confiables. El equipo de seguridad no puede estar en todas partes a la vez, por lo que reclutan informantes en toda la empresa. Los equipos de concienciación sobre seguridad capacitan a las personas sobre lo que deben buscar y cómo identificar problemas. Y el programa de seguridad recopila y analiza estos datos de forma sistemática y formalizada. Buscar problemas de seguridad no es el trabajo de equipos de auditoría o pruebas especializados, que generalmente pueden identificar problemas solo en casos específicos o solo después de haber alcanzado ciertos umbrales.
· RECOMPENSAR INFORMES DE PROBLEMAS. 
Estas personas no solo representan una interfaz principal entre el programa de seguridad y el resto de la empresa, sino que también pueden ser el mejor medio para poner una cara más benigna y amigable en un tema difícil y delicado. Recompensar a las personas por informar fallas de seguridad significa elogiar a las personas que llaman la atención sobre las pequeñas brechas en la armadura de la organización, incluso si la persona que informa esa brecha es la persona que la creó o causó. Esta puede ser una píldora especialmente amarga para los equipos de seguridad, particularmente cuando la causa raíz es algo que una persona de seguridad consideraría estúpido o incluso deliberadamente negligente.
· COMPARTIR INFORMACIÓN SOBRE FALLAS. 
Las personas que informan sobre fallas de seguridad es una forma de compartir información con el programa o el equipo de seguridad. Pero los HRSP también practican el intercambio de información hacia el exterior. Acumular o incluso ocultar información sobre problemas de seguridad, por el motivo que sea, contribuye a la incertidumbre y la falta de visibilidad que pueden permitir que los pequeños problemas se conviertan en grandes problemas en el espacio. El intercambio de información es otra área en la que la industria de la seguridad está comenzando a ver más innovación y actividad, como resultado de violaciones de alto perfil que han impulsado al gobierno a comenzar a involucrarse directamente. Los equipos de seguridad altamente confiables están más preocupados por compartir información sobre cómo llegó la vulnerabilidad allí en primer lugar y cómo se permitió que no se tratara hasta que alcanzó el punto de ruptura.
· APRENDER DE LOS ERRORES.
Los HRSP ven una gran parte del valor de seguridad del fracaso como asociado con oportunidades de aprendizaje aprender a comprender mejor sus programas de seguridad, aprender a gestionar los resultados previstos frente a los resultados reales y saber dónde actuar para evitar que los incidentes menores se conviertan en mayores. Por lo tanto, es fundamental para una seguridad altamente confiable que el programa InfoSec aprenda algo de cada falla que encuentre.
3. ¿Por qué debemos implementar la evolución de sus comportamientos de valor de falla?
Respuesta: Implementar un comportamiento organizacional nuevo y diferente no es tan difícil como cambiar la cultura que impulsa esos comportamientos, pero eso no significa que la tarea sea fácil. Debe identificar los comportamientos que desea fomentar y luego desarrollar formas de evaluar y medir cuán prevalentes son y cuán ampliamente se adoptan. Y mientras tanto, debe estar atento a las influencias culturales que puede aprovechar para su propósito, o que pueden resistir sus esfuerzos hacia el cambio compitiendo directamente con las prioridades que espera consagrar.
4. ¿Qué es la encuesta y las métricas de Security Force?
Respuesta: La encuesta Security FORCE es un breve instrumento de recopilación de datos diseñado para evaluar si la organización exhibe los comportamientos asociados con un programa de seguridad altamente confiable. Las cinco declaraciones bajo Security Value of Failure se enumeran en el extracto de la encuesta Security FORCE. Al igual que la Encuesta de diagnóstico de cultura de seguridad, la Encuesta de fuerza de seguridad es una herramienta generalista, adecuada para una variedad de situaciones y audiencias. El comportamiento y la cultura de seguridad no son exclusivos del equipo de InfoSec, sino que se aplican a toda la organización. Las métricas de Security FORCE son un conjunto de 25 medidas, también asignadas a los cinco valores de Security FORCE y sus comportamientos de valores asociados. Las métricas de Security FORCE se basanen los artefactos y resultados que debe producir un conjunto de comportamientos si esos comportamientos prevalecen y están integrados en un programa de InfoSec o en la empresa más grande. Incluso si todas esas cosas indican comportamientos de seguridad altamente confiables, las discrepancias en las métricas de Security FORCE pueden señalar discrepancias que deben explorarse más a fondo.
5. ¿Cómo mejoramos los comportamientos de valor de falla?
Respuesta: Una vez que haya identificado los comportamientos de seguridad que tienen más probabilidades de hacer que su programa de seguridad sea más confiable y haya comparado la forma en que su organización se comporta día a día con estos comportamientos deseados a través de la encuesta, las mediciones u otros medios, es probable que encuentre áreas donde quieres mejorar. La mejora del comportamiento de seguridad no ocurre de la noche a la mañana, y no ocurre por mandato. Por eso hay 4 puntos, las cuales son:
· Integrar el valor de seguridad del fracaso en las personas.
El valor real de la falla tiene mucho que ver con encontrarla lo suficientemente temprano y con la frecuencia suficiente para aprender de ella y cambiar de dirección antes de que ocurra un desastre, como el navegante de un barco que mantiene un registro de las corrientes y el viento para hacer macroajustes. al rumbo del barco para que nunca se acerque al peligro.
· Reeducar a las personas sobre lo que significa fallar.
Las creencias y suposiciones culturales impulsan el comportamiento, por lo que cambiar el comportamiento significa atacar la resistencia cultural. Un mensaje clave aquí debería ser que no todas las fallas son iguales y que algunas son realmente deseables, ya que están destinadas a suceder de todos modos. La gente entenderá que hay ciertos resultados que son verdaderamente inaceptables, que nunca deben suceder.
· Establecer ejemplos de liderazgo.
Los líderes organizacionales como el CISO tienen un enorme poder de influencia, simplemente viviendo de acuerdo con los ideales y requisitos que establecen para todos los demás. Al caminar por el camino, estos líderes fomentan la imitación. Por lo tanto, los líderes de la organización, especialmente los líderes de seguridad, deben ser los primeros en aceptar el valor de seguridad de las fallas.
· Comunicación abierta.
El valor de seguridad de las fallas solo se realiza en un entorno de intercambio de información abierto y gratuito. Los equipos de concienciación sobre seguridad suelen ser los que están mejor posicionados para crear y gestionar comunicaciones que implican el valor de seguridad de las fallas.