Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
scamara Máquina de escribir I scamara Máquina de escribir II scamara Máquina de escribir III scamara Máquina de escribir IV scamara Máquina de escribir 5 scamara Máquina de escribir 1 scamara Máquina de escribir 2 scamara Máquina de escribir 3 scamara Máquina de escribir 4 scamara Máquina de escribir 5 Resumen— La práctica actual de seguridad de la información en las organizaciones ha estado marcada por un ejercicio de aplicación virtuoso de estándares para asegurar una gestión eficiente y efectiva de la protección de la información, el cual busca alcanzar certezas, pocos defectos y actuaciones predecibles antes eventos inesperados. Sin embargo, el contexto actual marcado por un entorno VICA - Volátil, Incierto, Complejo y Ambiguo, demanda actualizar la forma como se gobierna la seguridad de la información para lo cual se introduce el modelo PERIL, que fundado en la incertidumbre, la debilidad y las fallas permite dar cuenta de un ejercicio complementario de la seguridad de la información que fortalece lo virtuoso de su gestión y revela lo valioso de su gobierno. Palabras clave — incertidumbre, estándares, gobierno de la seguridad, gestión de la seguridad, inseguridad de la información. I. INTRODUCCIÓN As empresas del siglo XXI están fundadas sobre la base del tratamiento de la información como quiera que en las relaciones que desarrollan lo que fluyen es este recurso natural de la sociedad de la información y conocimiento. Podríamos decir que poco a poco, la información, se está convirtiendo en un “commodity” y las corporaciones deberán incorporar prácticas estándar que permitan una mayor fluidez de las operaciones y negocios en un entorno altamente interconectado [8] [9]. Sin perjuicio de lo anterior, las organizaciones se enfrentan a escenarios cambiantes y riesgos emergentes, donde la información se convierte en el foco de las acciones de los posibles atacantes, habida cuenta que es con este insumo clave, como se desarrollan nuevas forma de hacer negocios, se crean servicios novedosos o propuestas inéditas que pueden terminar incluso como patentes las cuales representan la apuesta de valor de las corporaciones modernas [12]. En este sentido, por más de cuarenta años se han venido desarrollando prácticas de protección de la información, generalmente aplicadas desde el ámbito tecnológico, consolidando un imaginario colectivo que relaciona la seguridad de la información únicamente con palabras como: antivirus, sistemas de detección de intrusos, cortafuegos, redes virtuales privadas, cifrado, entre otros, las cuales demandan un conocimiento específico y personal especializado, asociando a éstos últimos, el ejercicio exclusivo de la protección de los activos de información de la empresa. Jeimy J. Cano M., Universidad de los Andes/Universidad Santo Tomás de Aquino, Colombia, jcano@uniandes.edu.co De igual forma, se han desarrollado múltiples iniciativas internacionales para avanzar en una adecuada gestión de seguridad de la información [15] que buscan cubrir aspectos tácticos y estratégicos claves para asegurar un entorno más seguro y confiable para las empresas. Dentro de estas podemos anotar la serie ISO 27000 , los esfuerzos de ISACA con el BMIS (Business Model for Information Security), sus planteamientos desarrollados en el manual de la Certificación CISM (Certified Information Security Manager) y en el Cobit 5 for Information Security , así como el NIST 800-53 (Security and Privacy Controls for Federal Information Systems and Organizations), el ISM-3 (Information Security Management Maturity Model) y los avances académicos de los profesores Von Solms [17] relacionados con buenas prácticas y guías para un adecuado gobierno de la seguridad de la información. Bien anota Goodman [12, p.99] que “mientras mayor producción y almacenamiento de datos tengamos, mayor será el interés del crimen organizado para consumirlos”, lo que supone romper el imaginario construido alrededor de la seguridad de la información para reconectar a las personas, sus comportamientos y supuestos, los escenarios posibles y probables, los riesgos conocidos, latentes, focales y emergentes, las lecciones aprendidas y por aprender, así como las pruebas controladas y no controladas para proponer una forma diferente de gobernar la seguridad de la información. El gobierno de la seguridad de la información en el contexto de un entorno VICA - Volátil, Incierto, Complejo y Ambiguo [18], implica los conocimientos y prácticas conocidas hasta el momento para entrar en tensión conceptual con esta realidad, comprometiendo nuestra capacidad de prever y responder ante lo inesperado. En este sentido, se hace necesario transformar nuestra forma de comprender y leer la realidad, para enfrentarnos a la inestabilidad que genera la incertidumbre y repensar la forma en la cual reconocemos y actuamos en dicho contexto. En razón con lo anterior y reconociendo los importantes avances y aportes académicos y prácticos que se tienen a la fecha, se propone un modelo de gobierno de seguridad de la información, que busca incorporar a la investigación actual elementos novedosos y prácticos que apalanquen los esfuerzos actuales y motiven un cambio en la forma como conocemos y fundamentamos las reflexiones sobre la seguridad de la información en las organizaciones del siglo XXI. La organización del trabajo es la siguiente: en la Sección I Jeimy J. Cano Modelo PERIL. Repensando el gobierno de la seguridad de la información desde la inevitabilidad de la falla L scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 6 se explican los tres principios básicos del gobierno de la seguridad de la información basados en la incertidumbre, la debilidad y la falla. Seguidamente en la Sección II se detalla el concepto de seguridad por vulnerabilidad donde se introduce el modelo PERIL. La Sección III muestra un caso de estudio de aplicación del modelo PERIL comparado con las estrategias de gestión de seguridad actuales, para finalmente plantear algunas conclusiones sobre el modelo PERIL y su aplicación en la Sección IV. I. INCERTIDUMBRE, DEBILIDAD Y FALLAS: TRES PRINCIPIOS BÁSICOS PARA EL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN Si entendemos que la seguridad de la información es un ejercicio en permanente obra gris y que responde necesariamente a la inevitabilidad de la falla, no podemos fundar su gobierno solamente en los riesgos conocidos, en la pedagogía del éxito y tratando de disminuir todo el tiempo el nivel de incertidumbre sabiendo que estamos inmersos en un entorno VICA. Esto supone cambiar radicalmente la manera como entendemos el gobierno de la seguridad de la información, esto es cambiar la lectura actual del tema arraigada en la tradición de muchos oficiales de seguridad de la información y ejecutivos de empresas, que se puede manifestar en las siguientes declaraciones: • La seguridad y la complejidad no son compatibles. • Las fallas de seguridad de la información revelan las limitaciones de la gestión de la seguridad. • Los incidentes de seguridad deben ser la excepción de la operación de un programa de seguridad. • Los errores en las prácticas de seguridad de la información no son admisibles en ninguna parte de la empresa. • La incertidumbre de la operación del negocio es amenaza para la seguridad de la información. Las anteriores afirmaciones se traducen en máximas de la gestión de los ejecutivos de seguridad de la información que atienden los marcos de trabajo tradicionales en gestión de riesgos como: • A menor nivel de vulnerabilidad identificada, mayor expectativa de seguridad y control. • A mayornivel de exposición identificada, menor expectativa de seguridad y control. Basado en las reflexiones expuestas podemos entender que el error se convierte en un tribunal para la gestión de seguridad información, una afrenta a la confianza de la organización y sus ejecutivos en las prácticas de seguridad de información y el reflejo de la distancia y poco interés por ejercicio del gobierno de la seguridad de la información en el cuerpo colegiado directivo que asume el direccionamiento empresarial. Mientras los modelos de gestión (generalmente basados en las normas ISO), a través de actividades concretas y específicas, aseguran los entregables previstos, los modelos de gobierno se fundan en medio de la incertidumbre para tratar de navegar en a través de tensiones, intereses y presiones políticas para alcanzar su misión: conducir la nave que tiene a cargo, a través de caminos inciertos e inesperados, para lograr los objetivos propuestos, privilegiando el bien general sobre el bien particular como se puede observar en la Fig.1. Figura 1. Características de la gestión y el gobierno (Tomado de: [6]) Por tanto, si queremos movilizar la organización para gobernar la seguridad de la información, se hace necesario partir de la debilidad, de la incertidumbre y las fallas como fundamento de una vista estratégica y táctica de la seguridad de la información ajustada al entorno VICA, propio de las organizaciones, donde lo más normal es el error en las personas, las fallas de seguridad de la información en los procesos y controles y los eventos inesperados que comprometen las estrategias más elaboradas de seguridad y control. Esto supone declarar tres principios básicos de esta nueva forma de gobierno de la seguridad de la información, que exigen a los ejecutivos de seguridad de la información, pensar por el complemento y de forma relacional, y no con una epistemología positivista (que controla todas las variables en sus análisis), para potenciar y renovar las prácticas actuales respecto de los retos de agilidad, movilidad y protección que demandan las empresas de hoy. Los tres principios son: • La debilidad es la base de la construcción de la confianza y no las certezas. • La incertidumbre es el insumo para construir el futuro y no condenar el presente. • Las fallas son la fuente para aprender y desaprender, y no la forma para infundir miedo o configurar un fracaso. Estas tres aseveraciones, por demás contradictorias, en una lectura exitosa de la realidad, recaban en una manera complementaria y real para entender que la inevitabilidad de la falla es la base de cualquier forma de gobierno de la seguridad de la información. Es claro que todos los esfuerzos de seguridad y control que se tienen en las organizaciones basadas en las prácticas previamente mencionadas, seguirán siendo válidos y claves para continuar desarrollando la scamara Máquina de escribir CANO et al.: MODELO PERFIL scamara Máquina de escribir 7 seguridad, sin perjuicio que, incorporar esta vista soportada en estos tres principios movilizará el gobierno de la seguridad de la información a un estadio superior de reflexión y “nuevos normales”, que acerque y quiebre las prácticas actuales de seguridad y control de las empresas inmersas en los imaginarios de las personas que allí laboran. Si se revisan con cuidado estos tres principios, se confirma una lectura de la seguridad de la información que plantea a la inseguridad de información como un dual, lo que hace que el pensamiento circular, donde una causa conduce a un efecto y un efecto puede ser igualmente una causa, motive una reflexión diferente sobre la forma como hemos venido entendiendo las prácticas de protección: “ (…) la inseguridad informática como disciplina dual en el estudio de la seguridad informática, establece un paradigma complementario (es decir dual a la seguridad informática) que comprende las propiedades emergentes de los sistemas (analizados) bajo condiciones y realidades extremas, las cuales no son viables en una estrategia de protección causal (dualismo) sugerida por la seguridad informática actual. [3] II. SEGURIDAD POR VULNERABILIDAD. SABIDURÍA NO CONVENCIONAL EN SEGURIDAD DE LA INFORMACIÓN El gobierno de la seguridad de la información revisado desde su dual, la inseguridad, plantea una visión extendida y novedosa para establecer un referente estratégico de la seguridad de la información en las organizaciones del siglo XXI. Esta vista invierte los supuestos actuales de certeza, gestión exitosa y variables controladas, para desarrollar los principios previamente comentados en una propuesta metodológica que materialice la práctica de estas declaraciones. Para ello, es clave reconocer inicialmente las características propias tanto de la seguridad como de la inseguridad como fundamento de los componentes que se plantarán más adelante para atender la propuesta complementaria que asuma los efectos de borde y situaciones inesperadas como insumos característicos de la propuesta que se presenta más adelante. De acuerdo con Cano [4] existen características concretas que definen a la seguridad de la información y a la inseguridad de la información. En este entendido se presenta un cuadro resumen que da cuenta de dichos rasgos, cuyos detalles y análisis se puede encontrar en la referencia indicada en este párrafo: Seguridad de la información Inseguridad de la información Intangible Tangible Subjetiva Objetiva Es una propiedad emergente Es una propiedad inherente Se basa en la certeza Se basa en la incertidumbre Seguridad de la información Inseguridad de la información Se requiere modelarla No requiere modelarse Tabla 1. Seguridad de la Información Vs Inseguridad de la Información (Adaptado de: [4]) La tabla anterior revela a la inseguridad de la información como la base del gobierno de la seguridad de la información, como quiera que la incertidumbre y la condición de propiedad inherente que contiene, hace que se contraponga a las certezas y variables conocidas que se buscan en la gestión actual, generando una reflexión en el margen de las hojas que cuestione la forma en la que se concibe, estudia y definen los lineamientos estratégicos de la seguridad de la información en las organizaciones. Enfrentar este dilema en el desarrollo de una visión ejecutiva de seguridad de la información, requiere asumir la vulnerabilidad como la fuente de la robustez de la gestión de la seguridad de la información y el fundamento de su gobierno, entendido éste como: La responsabilidad de la junta directiva y el concurso del ejecutivo de seguridad de la información [16] para movilizarse en las tendencias propias del negocio donde opera, advertir movimientos y retos emergentes que enfrenta el modelo de generación de valor de la empresa y anticiparse frente a los riesgos y amenazas que pueden comprometer la vista estratégica corporativa, como un ejercicio de alquimia entre la política corporativa, los intereses superiores de los accionistas y la realidad de la protección de la información. Lo anterior supone una construcción de confianza desde la vulnerabilidad propia de los elementos tradicionales de la gestión de la seguridad como son las personas, los procesos y tecnología, que ilustre las prácticas sistemáticas y sistémicas que asisten las forma como la organización aprende de las fallas, explora la incertidumbre y da cuenta de las tendencias que pueden afectar el desarrollo de los negocios empresariales y comprometer la viabilidad de su permanencia en el mercado. Con el fin deconcretar las reflexiones planteadas, se detalla a continuación un propuesta para el gobierno de la seguridad de la información complementaria a las iniciativas metodológicas actuales, que cambia la tradición del entendimiento de la seguridad de la información ahora desde una epistemología basada en el pensamiento de sistemas y en la pedagogía del error [1][9], que introduce dinámicas adicionales a las ya conocidas y expresadas en las normas ISO y demás referentes internacionales. El modelo PERIL (que en inglés significa “exponerse al riesgo”) asume una sabiduría no convencional en seguridad de la información, que sustentada en los principios de incertidumbre, debilidad y fallas, declara lo siguiente: • La práctica de seguridad de la información sólo es posible desde la pedagogía del error [10]. • Los incidentes de seguridad de la información son la base scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 8 de la gestión de seguridad de la información. • Las fallas de seguridad de la información abren ventanas que reinventan el futuro de la seguridad. • La complejidad de un sistema (estudiada desde los ojos del observador) revela la vulnerabilidad inherente a su funcionamiento. • La incertidumbre es una oportunidad para conectar las tendencias emergentes que propone la inseguridad de la información. Para articular las afirmaciones anteriores, el modelo ilustrado en la Fig. 2, introduce cinco componentes que se alimentan entre sí, para ejercer un gobierno de la seguridad de la información, basado en la realidad de los eventos inesperados [14] y la capacidad de la organización de prepararse para asumir el futuro con iniciativas novedosas, que implican riesgos calculados, así como una postura activa y propositiva de direccionamiento estratégico en seguridad de la información que la asiste en sus propósitos. Figura 2. Modelo PERIL (Autoría propia) El ejercicio de gobierno de seguridad de la información inicia por descubrir y revelar los imaginarios (I) que se tienen sobre la seguridad de la información en la empresa, para lo cual se hace necesario consultar los valores, las actitudes y creencias que la conforman [11], para comprender la dinámica de las prácticas actuales sobre la protección de la información, para enfatizar en los aciertos y fortalezas identificadas, utilizando las fallas o errores como una forma de crear escenarios de aprendizaje que recompongan y actualicen el imaginario actual. Si lo anterior se hace de manera permanente, las personas en los diferentes niveles (incluido la Junta Directiva) irán adquiriendo una práctica de protección que asume el error no como algo por lo cual voy a recibir una sanción, sino como una oportunidad para distinguir nuevas formas de asegurar la información, procurando cada vez, no equivocarme menos, sino hacerlo de manera diferente lo que exige una incorporación de lecciones aprendidas y por aprender, que es otro componente del modelo que será detallado más adelante. Mantener una vista dinámica de los imaginarios ayuda a movilizar los esfuerzo en el componente de escenarios (E) los cuales demandan la participación de diferentes públicos y niveles para construir la proyección de contextos posibles y probables basados, no solamente en la experiencia de la empresa y sus objetivos de negocios, sino la capacidad de imaginar situaciones retadoras para las supervivencia de la empresa donde la información juega un papel determinante y hace la diferencia frente a los impactos sobre los diferentes grupos de interés identificados. Adelantar este ejercicio de escenarios de manera participativa y colectiva, aumenta la concientización de la organización respecto de los activos de información claves y las formas como se pueden comprometer, tanto de manera interna como de manera externa. El valor de esta práctica está dada por la construcción de una vista compartida de las amenazas, capacidades de los atacantes y postura táctica de protección de la empresa para contener, atender y superar un escenario disruptivo, donde no es solamente la actuación del área de seguridad de la información la relevantes, sino el papel que asumen las áreas de negocio y la junta directiva. Complementario a lo anterior, se extiende la mirada tradicional de los riesgos (R) identificados respecto de la seguridad de la información introduciendo la ventana de AREM [5] para no solamente adelantar las acciones de tratamiento para los riesgos conocidos, sino estudiar y caracterizar tanto los riesgos latentes como los focales (propios del sector negocio de la empresa), así como estudiar y analizar aquellos emergentes que advierten posibilidades que se identifican en el entorno, para conectar los puntos y revelar temáticas desconocidas o que están un estado embrionario. La ventana AREM permite darle a una vista sistémica de los riesgos en seguridad de la información a los ejecutivos de la junta directiva, para mantenerlos, no solamente informados de la dinámica del entorno, sino participando de la construcción del escenario de la inevitabilidad de la falla, de la cual hacen parte y conocen los posibles impactos de la materialización de alguno de ellos. Sin perjuicio de lo anterior, se hacen necesarias las pruebas (P) controladas y no controladas para dar cuenta del nivel de vulnerabilidad inherente a los sistemas objetivo de la organización, los cuales generalmente están asociados con los activos de información de mayor valor para la empresa y de aquellos que son parte fundamental de la estructura de cumplimiento regulatorio y normativo [16]. Estas pruebas demandan tensionar y tratar de romper la confiabilidad de los controles en operación, actuando como un atacante interno y externo y así manifestar las debilidades que son claves que pueden comprometer la confianza corporativa respecto de las decisiones que afectan el direccionamiento estratégico. Las prácticas generalmente aceptadas respecto de pruebas de la seguridad de la información pasan por la verificación de la operación de controles generales de seguridad, pruebas de penetración y superación de medidas de seguridad tecnológica, así como ejercicios de ingeniería social y combinaciones de las anteriores que maticen auditorías de seguridad y control con diferentes niveles de profundidad, scamara Máquina de escribir CANO et al.: MODELO PERFIL scamara Máquina de escribir 9 siempre orientadas en aquellos sistemas de información o lugares de la organización donde se hace realidad la promesa de valor de la empresa para sus grupos de interés. Finalmente y no menos importante, cada una de los componentes debe desarrollar como parte de su ejercicio lecciones (L) aprendidas y por aprender. Esto es, un ejercicio reflexivo de cómo se adelantó la actividad, qué cosas se hicieron bien y que otras no. Así las cosas, cada vez que se concreten los entregables de los ejercicios propuestos en cada componente se deben responder al menos preguntas como: • ¿Qué cosas vamos a dejar de hacer, que no aportan al ejercicio? • ¿Qué cosas vamos a seguir haciendo, que benefician y fortalecen la práctica? • ¿Qué cosas nuevas vamos a hacer, que no hemos hecho antes para alimentar y mejorar la práctica? Adelantar este ejercicio, permite al modelo mantenerse realimentado de las revisiones y apreciaciones de todos los participantes de la organización y apalancar una gestión de conocimiento en seguridad de la información, cuya experiencia acumulada reconoce los quiebres permanentes de la forma como se materializa la seguridad de la información, evitando la falsa sensación de seguridad, como quiera que su gobierno está fundado en la inevitabilidad de la falla. De esta forma, planteamos una vista del gobiernode la seguridad de la información basado en un ejercicio virtuoso basado en la aplicación de estándares y buenas prácticas reconocidas a nivel internacional y asistido por una lectura estratégica y valiosa de la protección de la información que no solo se anticipa a los cambios y realidades inesperadas de la empresas, sino que construye una posición proactiva y resiliente frente a impactos y acciones imprevistas que se puedan presentar. Implementar este modelo, no implica solamente aplicar los instrumentos mencionados en cada uno de los componentes, sino transformar la forma como la empresa, es decir, cada uno de sus participantes adquiere una madurez en el tratamiento de la información desde los hábitos de la gestión segura de la información tradicionales. Esto es apropiarse de la práctica de seguridad y control desde la vulnerabilidad, fundada en la pedagogía del error para hacer cada día más resistente la organización frente a la complejidad de las operaciones, la cual se encuentra en los ojos de cada empleado. III. COMPARANDO EL MODELO TRADICIONAL Y PERIL Teniendo presente el entorno VICA donde se encuentran inmersas las organizaciones vamos a considerar una empresa de corte financiero, como quiera que es uno de los sectores más regulados y donde la gestión de la seguridad de la información se ha convertido en una norma, siguiendo estándares como la serie ISO 27001. Este es un banco tradicional que en la actualidad mantiene una certificación ISO 27001 en los procesos más importantes de su negocio y que de manera sistemática adelanta auditorías de seguimiento para advertir desviaciones sobre la aplicación de los controles establecidos para cubrir los riesgos conocidos identificados en dichos procesos. En este sentido, ante un incidente de seguridad de la información, se activa el proceso de atención de incidentes con el fin de atender la brecha que se presenta, siguiendo el proceso natural que establece las siguientes actividades: detección y notificación, contención, erradicación, recuperación e investigación. Cumplido el ejercicio de aseguramiento del incidente, el cual se contabiliza como una falla inherente del sistema de gestión, se activa el sistema de mejoramiento continuo que advierte la falla en alguno de los componentes del sistema de gestión (personas, procesos, tecnología) para luego, efectuar el análisis-causa raíz que le permita cerrar la brecha identificada y nuevamente mantener el estado de certidumbre que requiere y exige la aplicación del estándar y la lectura esperada de la alta gerencia. Si el modelo de gestión tradicional se sigue ejecutando, el banco continuará su ejercicio de cumplimiento de la norma de forma exitosa, con las verificaciones tradicionales, sin advertir posibles eventos que se están gestando en el contexto de sus operaciones, bien con sus grupos de interés o terceros que apoyan su operación. Lo anterior supone que la seguridad de la información es una función especializada encargada de la protección del activo información y responsable de su aseguramiento a nivel corporativo. Actuando siguiendo el modelo tradicional de gestión Considere que se ha emprendido una estrategia de espionaje corporativo contra el banco con el fin de establecer las nuevas medidas de seguridad y control que están planeando para el despliegue de sus productos móviles. En este contexto, se valen los interesados de terceros que actualmente tienen contratos con el banco y de personas contratadas para llamar y tener los contactos de los ingenieros a cargo del proyecto. En esta condición, sin ser detectados los ingenieros reciben información clave de su proveedor de seguridad contratado (que ha sido interceptada y modificada con código malicioso) las cuales reciben y descargan en la red local del banco, sembrando la semilla maliciosa que infecta la aplicación móvil confiable construida, la cual al ser descargada por los diferentes clientes exponen sus datos personales y financieros, creando una ola de robos y desfalcos que no pudieron ser anticipados, comprometiendo la imagen del banco y la buena fe de sus clientes. Ante una situación como la anterior, activando el proceso de atención de incidentes, siguiendo todos sus pasos, podemos advertir la fuente técnica de los que ocurrió, sin percatarnos de las variables y condiciones del entorno que estuvieron presentes, las cuales fueron ocasión de los planes establecidos por atacantes para comprometer no solamente la información de los cuentahabientes, sino la imagen y operación del Banco. scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 10 El incidente se cierra bien con una investigación que sea la base para un proceso legal posterior o con un informe técnico y otro ejecutivo que dé cuenta de lo que ocurrió y las medidas que se han establecido para que no vuelve a ocurrir. Acto seguido, la alta gerencia llevará al tribunal de las explicaciones al responsable de seguridad de la información por la situación que ha ocurrido, exigiendo respuestas y acciones contundentes para blindar el proceso y las nuevas propuestas que se puedan adelantar en el contexto de los móviles, dejando nuevamente a la gerencia como un actor que se deslinda del ejercicio de construcción del gobierno de la seguridad de la información. Actuando siguiendo el modelo PERIL Dado que PERIL se fundamenta en la inevitabilidad de la falla y considerando el lanzamiento de los nuevos productos móviles, se hace necesario establecer los posibles puntos o vectores de ataque que pueden ser objetivo para comprometer la salida del producto, considerando no solamente las condiciones técnicas (siguiendo las exigencias de los estándares conocidos), sino haciendo evidente el imaginario (I) de protección que las personas tienen en la actualidad, para establecer la brecha que se tiene respecto de los comportamientos vigentes y aquellos que queremos que se tengan una vez se liberen los productos móviles. Como resultado de las consideraciones propias de los imaginarios, deberá desarrollarse todo un plan para, luego de revelar el imaginario de los grupos de interés que utilizarán los productos diseñados para los dispositivos móviles, educar y transformar los valores, las actitudes y las creencias de las personas respecto de la seguridad en los dispositivos móviles, empezando por los miembros del equipo de proyecto y alcanzando la población objetivo para movilizar los comportamientos requeridos. Sin perjuicio de lo anterior, se requiere que el equipo del proyecto conociendo la población impactada, las condiciones de fallas, incertidumbre y debilidades propias de las plataforma móviles, invitar a los miembros de las áreas de negocio, un conjunto significativo de las personas impactadas, así como ejecutivos de primer nivel, para construir escenarios (E) de posibles situaciones límites que pueda afectar las estrategias del negocio y las perspectivas y expectativas de la junta con la salida del nuevo producto. Este ejercicio exige abrir la mente para pensar en situaciones posibles y probables que comprometan la imagen y las operaciones del banco. Lo anterior, requiere seguir un método, que en este caso, se selecciona el que desarrolla Intel [7] que incluye los siguientes elementos: • Participación de múltiples roles de la organización • Establecer los escenarios de ataque basados en vulnerabilidades conocidas y desconocidas • Operacionalizar el ataque (detalle de capacidades y estrategias que puede seguir el atacante) • Capturar y analizar las ideas que surjan sobre el ataque Con esta información, se documentan los posibles escenarios de manera conjunta, entre el negocio y los especialistas en seguridad de la información, incluyendolas acciones que se deben seguir si la situación planteada se materializa y cómo participan cada uno de los roles ante el o los evento(s). Este ejercicio permite una sensibilización de las diferentes áreas de la empresa respecto de los planteamientos efectuados ante la inevitabilidad de la falla, aumentando la apropiación, no solamente de la práctica de seguridad, sino del producto mismo y sus posibles afectaciones. Considerando lo anterior, se detalla a continuación el escenario de amenazas y riesgos (R) conocidos, latente, focales y emergentes, usando la ventana de AREM. En el desarrollo de este ejercicio, se puede alimentar o ampliar el contexto de los escenarios planteados. La ventana de AREM permite plantear no solamente las probabilidades de los riesgos identificados, sino las posibilidades, lo que motiva una vista más incluyente de situaciones que no solamente tienen que ver con las implicaciones técnicas, sino con condiciones de negocios como es el caso particular del espionaje, el robo de información o la destrucción de información. Si bien, el equipo que participa en los escenarios tiene una vista amplia del producto y sus posibilidades, debería participar en la consolidación del ejercicio realizado con la Ventana de AREM para que de manera complementaria desinstale la posición cómoda de la organización de los riesgos conocidos y demande un monitoreo permanente y habilitante de las decisiones anticipadas requeridas por la empresa, que construyan capacidades que cambien la posición de la corporación frente a situaciones inesperadas. Con toda la información disponible en este momento, el equipo de seguridad de la información no solamente debe entrar a efectuar las pruebas (P) de seguridad y resistencia del producto en las plataformas móviles para hacer evidente las vulnerabilidades propias de su desarrollo, sino plantear los casos de mal uso [2], diseñados a partir de los escenarios planteados y los riesgos expuestos en la Ventana de AREM, lo cual demanda un entendimiento de las interacciones de los diferentes actores, teniendo en el horizonte los impactos en los objetivos estratégicos de la empresa y sus impactos. Los resultados que se tienen de las simulaciones y análisis efectuados sobre la solución móvil, plantean no solamente las estrategias de aseguramiento del código y el proceso mismo de despliegue y uso de la misma, sino las lecciones (L) aprendidas y por aprender que se deben incorporar en cada uno de los pasos anteriores, así como las propias de cada momento de la ejecución del modelo PERIL. Esto permite mantener una lectura renovada de la aplicación del modelo para que incorpore las vistas y reflexiones de todos los participantes, nutriendo la práctica del gobierno de la seguridad de la información, desde las mismas experiencias de sus participantes y los cambios del entorno, lo scamara Máquina de escribir CANO et al.: MODELO PERFIL scamara Máquina de escribir 11 que necesariamente impacta y renueva el imaginario de las personas que participan en este ejercicio. Para el caso del banco, el escenario de espionaje hubiese sido planteado posiblemente por el negocio y complementado por los diferentes actores, generando una sensibilidad adicional dentro del equipo del proyecto que aumentara las precauciones del caso en, durante y después del despliegue del producto, como quiera que las expectativas de la alta gerencia indicaban la sensibilidad de la estrategia en dispositivos móviles como factor diferenciador en el mercado. De presentarse el escenario identificado, luego de la aplicación de PERIL, el banco no solamente ejecutaría lo que tiene previsto en el proceso de atención de incidentes, sino que establecería una posición proactiva mostrando su capacidad de resiliencia frente a los eventos, proyectando confianza y tranquilidad a los grupos de interés impactados, así como una coordinación estratégica con diferentes actores requeridos para asegurar la atención de las situaciones. La alta gerencia tiene una mejor lectura de lo ocurrido, que si bien implica al responsable de la seguridad de la información, procura una estrategia político-relacional que complementa las acciones técnicas y de proceso que están previstas para el escenario planteado. Un resumen conceptual de la aplicación de los dos modelos se presenta a continuación: Figura 3. Comparación Modelo Tradicional y PERIL (Autoría propia) IV. CONCLUSIONES No podemos negar los grandes logros y avances que se han tenido en la gestión de la seguridad de la información, los cuales permiten a las empresas un ejercicio de virtudes en la protección de los activos estratégicos de las empresas. No obstante, se hace necesario crear nuevas formas para cuestionar dichas prácticas, desde enfoques de pensamiento complementarios para procurar tensiones sobre los saberes actuales donde opera la seguridad de la información, y así proponer caminos alternativos que induzcan realidades diferentes. En este sentido, introducir la vulnerabilidad como fuente y base del gobierno de la seguridad de la información, es hacer una lectura complementaria y diferencial de las prácticas de seguridad y control, que demanda un trabajo más exhaustivo que permite sospechar de manera permanente sobre la realidad de los controles, la vista de las prácticas y la formulación de estrategias de protección. Esto supone, reconocer que los ejercicios tradiciones de gestión de seguridad de la información, deben continuar, asistidos de la inevitabilidad de las fallas y sus lecciones aprendidas para ir desaprendiendo de lo que conocemos e incorporar las nuevas distinciones que podemos encontrar. Así las cosas, al entender que todos estamos conectados [13] y somos vulnerables (en mayor o menor medida) y que cada persona tiene una lectura de la complejidad del entorno que le rodea, se hace necesario crear escenarios posibles y probables que capitalicen el conocimiento tanto de los empleados como de los ejecutivos de la empresa, para aumentar la sensibilidad de los análisis requeridos para preparar a la organización sobre cómo actuar ante momentos no previstos con el menor impacto y así, aumentar la robustez de respuestas, desde el reconocimiento de la vulnerabilidad como fuente de la construcción de confianza con sus grupos de interés. Por tanto, el gobierno de la seguridad de la información debe atender y asumir la incertidumbre del entorno de la empresa y sus impactos, no como una amenaza para el direccionamiento estratégico de la protección del valor de la empresa, manifiesto en los activos de información claves, sino como una oportunidad para crear valor, esto es, cambiar la percepción reactiva, de miedo, dudas y malos presagios, por una que entiende el negocio y los impactos de la materialización de la inevitabilidad de la falla, anticipando escenarios, riesgos y aprendizajes que aumenten la resistencia de la empresa a los fallos, lo que no escapa a la presencia de incidentes como parte natural del precio que se debe pagar por la conectividad. El modelo PERIL introduce componentes complementarios a las prácticas vigentes sobre la seguridad de la información y estándares conocidos, cambiando los referentes de pensamiento de la gestión de riesgo tradicional, basados en la mitigación de riesgos, por uno donde se busca aceptar la debilidad inherente de la organización (esto es, revelar en mayor proporción sus vulnerabilidades), para construir una confianza inteligente. Lo anterior, demanda asegurar las prácticas virtuosas descritas en los referentes de ISO, ISACA, NIST y de la academia, complementando aquellas con una vista valiosa, construida desde la inseguridad como fundamento de un gobierno de la seguridad de la información que exige quebrarel “Jarrón de lo conocido” elaborado desde las certezas tradicionales y reconstruirlo con la filigrana dorada de la incertidumbre, la debilidad y las fallas, para revelar el verdadero valor de la información en un mundo VICA. AGRADECIMIENTOS El autor agradece a los maestros Francisco Rivas Dueñas y Andrés Almanza Junco, así como a los ingenieros Alberto León Lozano y Samuel Pinzón Barrios y a la doctora Lorena scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 12 González Manzano cuyos valiosos y generosos comentarios permitieron enriquecer las reflexiones y análisis planteados en este documento. REFERENCIAS [1] Álvarez, S (2012) Aprendiendo a perder. Las dos caras de la vida. Barcelona, España:Plataforma Editorial. [2] Barnum, S. y Sethi, A. (2006) Introduction to attack patterns. CIGITAL Inc. Recuperado de: https://buildsecurityin.us- cert.gov/bsi/articles/knowledge/attack/585-BSI.html [3] Cano, J. (2004) Inseguridad informática: un concepto dual en seguridad informática. Revista de Ingeniería. No.19. Universidad de los Andes. Facultad de Ingeniería. Mayo. 40-44 [4] Cano, J. (2007) Administración de la inseguridad informática. Repensando el concepto de gestión de la seguridad informática. Revista Hakin9. No.23 Hard Core IT Security Magazine. Polonia. 36-42 [5] Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem- una-herramienta-estrategica-y-tactica-para-visualizar-la- incertidumbre.pdf [6] Cano, J. (2015) Gestión y gobierno de la seguridad de la información. Dos conceptos complementarios para comprender la inevitabilidad de la falla. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/04/gestion-y-gobierno-de-la- seguridad-de.html [7] CEB (2014) Heard in suite: Intel perform structured risk sensing. (Requiere suscripción) [8] Córdoba-Pachón, J. R. (2010) Systems practice in the information society. Routledge Series in Information Systems. Londres, United Kingdom: Routledge. [9] Cortada, J. (2011) Information and the modern corporation. Cambridge, Massachussets: MIT Press. [10] De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires: Ed. Magisterio del Río de la Plata [11] Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI. [12] Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday [13] Hoque, F. (2014) Everything connects: How to transform and lead in the age of creativity, innovation, and sustainability. New York, USA: McGraw Hill. [14] Prigogine, I. (1997) El fin de las certidumbres. Madrid, España:Ed. Taurus. [15] Sethuraman, S. (2006) Framework for Measuring and Reporting Performance of Information Security Programs in Offshore Outsourcing. ISACA Journal. 6. Recuperado de: http://www.isaca.org/Journal/archives/2006/Volume-6/Pages/JOnline- Framework-for-Measuring-and-Reporting-Performance-of-Information- Security-Programs-in-Offshore-Outso1.aspx [16] Triump, I. (2012) Confronting the legal liabilities of IT Systems. EDPACS: The EDP Audit, Control, and Security. 46(2). 11-16 [17] Von Solms, S. H y Von Solms, R. (2009) Information security governance. New York, USA:Springer Verlag. [18] Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers. Jeimy J. Cano M. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes, Colombia. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia, Ph.D en Administración de Negocio por Newport University, CA., USA. Profesor distinguido y miembro fundador de Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática de la Facultad de Derecho de la Universidad de los Andes. Actualmente cursa el programa Doctoral en Educación en la Universidad Santo Tomás de Aquino, Colombia. scamara Máquina de escribir CANO et al.: MODELO PERFIL scamara Máquina de escribir 13 http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf Abstract – The information society is increasingly dependent on Information Security Management Systems (ISMS), and having these kind of systems has become vital for the development of SMEs. However, these companies require ISMS adapted to their special features, which would be optimized from the aspect of the resources needed to deploy and maintain them. This article presents the importance for SMEs of the safety culture within the ISMS and how the concept of safety culture is introduced into the methodology of safety management in small and medium-sized enterprises. This model is being applied directly to real cases, achieving a steady improvement in its implementation. Resumen — La sociedad de la información cada vez depende más de los Sistemas de Gestión de la Seguridad de la Información (SGSI), y poder disponer de estos sistemas ha llegado a ser vital para la evolución de las PYMES. Sin embargo, este tipo de compañías requiere de SGSIs adaptados a sus especiales características, y que estén optimizados desde el punto de vista de los recursos necesarios para implantarlos y mantenerlos. En este artículo se presenta la importancia que dentro de los SGSIs tiene la cultura de la seguridad para las PYMES y cómo se ha introducido el concepto de cultura de seguridad dentro de la metodología de gestión de la seguridad en las pequeñas y medianas empresas (MARISMA). Este modelo está siendo aplicado directamente a casos reales, consiguiendo así una constante mejora en su aplicación. Keyword —Cybersecurity, Information Security Management Systems, ISMS, Safety Culture, SMEs, ISO27001, ISO27002. Palabras clave — Ciberseguridad, Sistemas de Gestión de Seguridad de la Información, SGSI, Cultura de la Seguridad, PYMES, ISO27001, ISO27002. I. INTRODUCCIÓN Un sistema de gestión de la seguridad de la información (SGSI) se puede definir como un sistema de gestión usado para establecer y mantener un entorno seguro de la información. El objetivo principal de los SGSIs es afrontar la puesta en práctica y el mantenimiento de los procesos y los A. Santos-Olmo, Departamento I+D+i, Sicaman Nuevas Tecnologías, Tomelloso (Ciudad Real), España, Asolmo@sicaman-nt.com L. E. Sánchez, Universidad de Castilla-la Mancha (UCLM), España y Universidad de las Fuerzas Armadas (ESPE), Proyecto Prometeo de la SENESCYT, Ecuador, Luisenrique@sanchezcrespo.org I. Caballero, Grupo de Investigación Alarcos, Universidad de Castilla-la Mancha, Ciudad Real, España, Ismael.Caballero@uclm.es D. Mellado, Agencia Tributaria, Spain, damefe@esdebian.org E. Fernandez-Medina, Grupo de Investigación GSyA, Universidad de Castilla-la Mancha,Ciudad Real, España, Eduardo.FdezMedina@uclm.es procedimientos necesarios para gestionar la seguridad de las tecnologías de la información [1-5]. Dhillon [6] afirma que los SGSIs no se ocupan sólo de la seguridad de la información, sino que incluyen también la gestión de los aspectos formales e informales dentro de la misma [7]. Estas acciones incluyen la identificación de las necesidades de seguridad de la información y la puesta en práctica de las estrategias para satisfacer estas necesidades, medir los resultados y mejorar las estrategias de protección [8, 9]. Para ayudar a las empresas en la creación de una cultura de seguridad de la información los expertos han identificado diversos enfoques basados en políticas, sensibilización, formación y educación [10-13]. Sin embargo, las iniciativas de gestión por sí solas no influirán significativamente en el comportamiento de los empleados [14]. Según Schultz [15] es necesario prestar especial atención al factor humano. Por otro lado, a la hora de implantar los SGSIs la mayor parte de los modelos se han centrado en aspectos técnicos y de gestión, dejando de lado un tercer aspecto que es el institucional, y que ha tomado una especial relevancia en los últimos años [1, 8, 16]. Así Von Solms [17] describe que la seguridad de la información no debe centrarse sólo en estas dos orientaciones (técnica y de gestión), sino que tiene que verse completada con una tercera orientación (institucional o de cultura de la seguridad). De esta forma, la función principal de cada una sería: Orientación técnica: Se ocupa de las direcciones técnicas de seguridad de la información mediante el uso de los sistemas informáticos, como autenticación y servicios de control de acceso. Orientación a la gestión: Comenzó cuando la alta dirección se involucró en la seguridad de la información con la evolución de Internet y las actividades de negocio electrónico, e incluye las tareas de preparación de seguridad de la información, políticas, procedimientos y métodos, así como la designación del responsable de seguridad. Tendencia institucional: De forma paralela a la primera y la segunda orientación, incluye la creación de una cultura corporativa de la seguridad, abarcando la normalización, certificación, medición y preocupación del aspecto humano en la seguridad de la información. El objetivo de la institucionalización es construir una cultura de seguridad de la información, de tal manera que la ésta se convierta en un aspecto natural de las actividades cotidianas de todos los empleados de la organización [17, 18]. El desarrollo de la cultura de seguridad de la información pretende controlar el uso indebido de información por parte de A. Santos-Olmo, L. E. Sánchez, I. Caballero, D. Mellado, E. Fernandez-Medina Importancia de la Cultura de la Seguridad en las PYMES para la correcta Gestión de la Seguridad de sus Activos scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 14 mailto:Asolmo@sicaman-nt.com mailto:Luisenrique@sanchezcrespo.org mailto:Ismael.Caballero@uclm.es mailto:damefe@esdebian.org mailto:Eduardo.FdezMedina@uclm.es los usuarios del sistema de información [19, 20]. En una cultura de la seguridad de la información el comportamiento del empleado contribuye a la protección de los datos, información y conocimientos [20], y la seguridad de la información se convierte en una parte natural de la actividad diaria del empleado [11]. El valor potencial de la adopción de una cultura de la gestión de la seguridad de la información también fue demostrado por Galletta y Polak [21], mostrando que entre el 20–50% de los empleados revelan información de la compañía o hacen un uso inadecuado del sistema de información [22-24]. Según Ernt&Young [25], en los últimos años se ha realizado un avance importante en el establecimiento de la cultura de la seguridad, pero todavía queda mucho trabajo por realizar. Muchos gobiernos han realizado grandes esfuerzos para intentar mejorar el nivel de seguridad de sus compañías. Así, el grupo de políticas de seguridad de la información (DTI) [26] del Reino Unido tiene como fin ayudar a las empresas a gestionar eficazmente su seguridad de la información y proporcionar un conjunto de documentos que sirvan de punto de partida. "Las guías de la OCDE para la seguridad de los sistemas de información y las comunicaciones” [27] describen la necesidad de una mayor conciencia y comprensión de las cuestiones de seguridad y la necesidad de desarrollar una "cultura de seguridad". El artículo continúa en la Sección 2, describiendo brevemente las metodologías y modelos para la gestión de la seguridad existentes que se han centrado en la importancia de la cultura de la seguridad para los SGSIs. En la Sección 3 se introduce brevemente nuestra propuesta de metodología para la gestión de la seguridad orientada hacia las PYMES denominada MARISMA. En la Sección 4 se analiza cómo se ha introducido el concepto de cultura de la seguridad en nuestra metodología. En la Sección 5, mostramos de forma práctica la aplicación del concepto de cultura de la seguridad. Finalmente, en la Sección 6 concluimos indicando cuál será el trabajo que desarrollaremos en el futuro. II. ESTADO DEL ARTE La mayoría de las investigaciones sobre la cultura de la seguridad de la información [28-34] destacan que una cultura corporativa que incluya una cultura de seguridad de la información es un fenómeno colectivo transcendente y que puede ser diseñado por la propia dirección de una organización. Nosworthy [28] hace hincapié en que la cultura organizacional desempeña un papel importante en la seguridad de la información, ya que permite que la organización pueda resistir los cambios que sufre su sistema. Aunque la mayoría de las investigaciones coinciden en la importancia de la cultura de la seguridad para los SGSI [28], no se ha llegado a una definición clara del concepto de "cultura de la seguridad" [34], existiendo diferentes visiones: Siponen [35] describe que "la conciencia de seguridad de la información" es un estado donde los usuarios en una organización son conscientes de su misión en seguridad, dividiéndola en dos categorías: i) marco de aplicación (la normalización, certificación y medición de las actividades de la institucionalización); y ii) el contenido (el aspecto humano). Por otro lado Von Solms y Vroom [36, 37] sugieren el establecimiento de una cultura de formación y cooperación con los empleados, basada en una progresiva adaptación de la gestión de seguridad de la organización y los valores individuales y de comportamiento de los usuarios. Dhillon [6] tiene una visión amplia del término "cultura de seguridad", definiéndola como el comportamiento de los usuarios de una organización que contribuye a la protección de datos, información y conocimientos. Eloff [29] define la cultura de la seguridad de la información como un conjunto de características de seguridad de la información, tales como la integridad y la disponibilidad de la información. Para Chia [38] la cultura de la seguridad de la información es un aspecto fundamental, y define un conjunto de dimensiones que son importantes para medir la eficacia de la cultura de la seguridad de la información: i) la creencia en la importancia de la seguridad de la información; ii) equilibrio de largo y corto plazo, metas, políticas, procedimientos y procesos de mejora continua; iii) cooperación y colaboración; iv) atención a los objetivos de auditoría y cumplimiento. Sin embargo, esta lista ha sido recientemente criticada por Helokunnas [39], que hacen especial hincapié en los aspectos humanos de la seguridad de la información. Straub [40] sostiene que en los sistemas de información casi siemprese asume que una persona pertenece a una sola cultura, y por tanto proponen la teoría de identidad social para ser usada como base para la investigación de la cultura del sistema de información. La cultura de la identidad social sugiere que cada individuo está influido por multitud de culturas. Según [40], al aplicar la cultura de la seguridad los usuarios se verán influidos por aspectos éticos, de la legislación de cada país, y de organización de la seguridad. Esta cultura tiene un efecto sobre la forma en que el individuo interpreta el significado y la importancia de la seguridad de la información. Kuusisto [41] propone un sistema en que la cultura de la seguridad se crea a partir de la interacción del marco de referencia y los componentes (Figura 1). Marco de trabajo: - estándares - certificaciones - métricas Contenido: - aptitud - motivación - conocimiento Tiempo Figura 1. Marco de establecimiento de la cultura de seguridad. scamara Máquina de escribir 15 scamara Máquina de escribir Santos-Olmo et. al.: Importancia de la seguridad en PYMES Por último, Detert [42] considera la cultura de la seguridad como un aspecto clave dentro de los SGSI y desarrolla un marco general para la seguridad de la información basado en ocho dimensiones. [34] aplicó esas ocho dimensiones a las zonas de seguridad de la información e identificó los principales factores de seguridad de la información de cada dimensión (Figura 2). Orientación Gestión Orientación Institucional Orientación Técnica Seguridad Marco de aplicación Contenido Normalización Certificación Medición Aspecto Humano Politicas Procedimientos Métodos Selección R.Seguridad Autenticación Servicios de control de acceso Figura 2. Orientaciones de seguridad [34]. Aunque estudios recientes demuestran la preocupación de las PYMES en relación con las dificultades de desarrollar una cultura de seguridad de la información [43], lo cierto es que la cultura de la seguridad tiene una serie de problemas adicionales a la hora de implantarse en las PYMES [44]. Según [45, 46], las PYMES se ven especialmente perjudicadas en comparación con las grandes organizaciones en la búsqueda de una cultura de seguridad de la información, por varios motivos: Las PYMES carecen de los fondos, tiempo y conocimientos necesarios para coordinar la seguridad de la información, o de forma eficaz imponer una cultura de seguridad de la información [10, 47]. Las PYMES no suelen disponer de políticas y procedimientos, ni han definido las responsabilidades de los usuarios del sistema de información [48]. Las PYMES son más susceptibles que las grandes compañías a influencias nacionales, como cambios en la legislación [49]. Como conclusión, podemos destacar que se han desarrollado diversos marcos de gestión de la seguridad orientados al desarrollo de una cultura de seguridad de la información [11, 17, 29, 31, 37, 39, 50-52], pero suelen estar orientados hacia las grandes organizaciones. En cambio, según Hutchinson y Dojkovski [45, 53] los marcos para las PYMES deberían estar basados en un estudio de las necesidades reales de éstas, identificando y desarrollando un marco específico para ellas. Los expertos han propuesto diferentes marcos conceptuales para que la gestión de la seguridad de la información incluya la cultura de la seguridad de la información sobre la base de iniciativas de gestión de políticas, sensibilización, capacitación y educación [54, 55]. Sin embargo, esos marcos pueden ser más adecuados para medianas y grandes organizaciones debido a los recursos necesarios. En los últimos años han aparecidos varios marcos de trabajo para el establecimiento de la cultura de la seguridad sobre la base de: cultura organizacional y medición de la cultura de seguridad de la información [11, 30]; valores compartidos [48]: fases de seguridad de la información, niveles de madurez [17]; medidas relacionadas con el desarrollo del individuo, grupo y organización que permitan conocer sus deficiencias en materia de seguridad [29]; nivel socio–tecnológico sobre la seguridad de la información [56]; medidas basadas en la moral y ética de los usuarios [35]; métodos informales de concienciación [37]; conceptos clave de la cultura organizativa [31]; capacidades del personal [51]; aprendizaje organizativo [52]; y un enfoque multifacético [38]. Si bien esos marcos son claramente valiosos se centran en fragmentos del campo teórico, sin integrarse en un marco común y completo. Además, no abordan los requerimientos especiales de las PYMES. Así, Kuusisto y Ilvonen [41] llegan a la conclusión de que no existe ninguna normativa adecuada para gestionar la seguridad en las PYMES, y que principalmente se necesita de modelos que sean válidos y que permitan aumentar la cultura de la seguridad en las PYMES. En los siguientes subapartados se muestran dos propuestas que se centraron en el análisis de la necesidad de la cultura de la seguridad en las PYMES. A. Propuesta de Dojkovski [45]. Dojkovski [45] planteo la construcción de un SGSI orientado a las PYMES tomando como punto central la cultura de la seguridad. Para ello analizó el estado de las PYMES de Australia, llegando a la conclusión que en los últimos quince años los riesgos de seguridad de la información para las PYMES de Australia han aumentado como resultado de un mayor acceso a Internet, pero el nivel de seguridad de la información y la sensibilización en las PYMES no se ha mantenido a buen ritmo y sigue siendo bajo. Esta propuesta no entra en los mecanismos de implantación del SGSI, ni en aspectos como controles, métricas y gestión de riesgos que debe contener, centrándose solo en los elementos que debería contener un SGSI orientado a la cultura de la seguridad. Las principales causas de los problemas de gestión de la seguridad detectadas en las PYMES fueron: Las PYMES ven el sistema de información como un sistema de apoyo a los departamentos de producción de la empresa y no como algo vital para su negocio. Esto hace que sean reactivas ante los fallos de seguridad en lugar de proactivas. Para las PYMES, el coste es fundamental y ven la seguridad como un gasto no justificado. Los gerentes no se preocupan de la seguridad, y por tanto el resto de empleados tampoco. Los usuarios ven muy difícil cumplir este marco de trabajo. Asimismo, es muy difícil hacer que cambien scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 16 los malos hábitos adquiridos, y ningún usuario quiere ser responsable de los activos del sistema de seguridad de la información. Se deben gestionar las iniciativas de forma adecuada, presentando las políticas y procedimientos a los usuarios a la hora de firmar el contrato. En el caso de la PYME esto puede ser más difícil al carecer de estructuras organizativas formales. Asimismo, es importante considerar el cumplimiento de la seguridad dentro de la valoración del trabajo de los empleados. Falta de formación adecuada en seguridad. Los encuestados consideraron el e–learning como herramienta de trabajo válida para mejorar el nivel de cultura de la seguridad de la información, así como la posibilidad de poder compartir experiencias con otras PYMES. Pero el problema es que normalmente en las PYMES no se puede hacer un curso para los trabajadores por cuestiones de tiempo y dinero, y que muchos trabajadores no realizarían estos cursos si no existiera algún tipo de motivación al respecto. Para afrontar estos problemas Dojkovski [45] planteó la construcción de un SGSI orientado al desarrollo de la cultura de la seguridad de los sistemas de la información, que tendría que tener en cuenta cómo las personas piensan y se comportan, lo que sugiere la necesidadde un enfoque de investigación interpretativo. Siguiendo los principios de Lichtenstein [57] se validó el modelo en cuatro grupos diferentes. Se utilizaron diferentes marcos de trabajo y enfoques para desarrollar una teoría válida. Se realizó un análisis sobre un conjunto de PYMES intentando determinar su conciencia en seguridad, los desafíos que enfrentan las PYMES en el fomento de una cultura de seguridad de la información, así como la viabilidad del anteproyecto. Este marco de trabajo está formado por los siguientes elementos (Figura 3): Aprendizaje organizativo e individual: La cultura de seguridad de la información debe ser difundida a todos los niveles de la organización, tanto a nivel individual como colectivo [29]. Según Van Niekerk [52] podría ser útil utilizar un enfoque de aprendizaje organizativo. E–Learning (la cooperación, la colaboración y el intercambio de conocimientos): las PYMES pueden realizar aprendizaje electrónico (e–learning) [58] y también pueden cooperar y colaborar electrónicamente en las comunidades y foros de seguridad de los sistemas de la información [39] con el objetivo de mejorar la cultura de la seguridad entre los usuarios del sistema de información. Gestión: Los programas de sensibilización (respaldo de la dirección, amenazas de medidas disciplinarias, cláusulas en los contratos de trabajo, etc), la formación, la educación o el valor del liderazgo [59] son iniciativas valiosas para el desarrollo de la cultura de la seguridad de la información [12, 51]. En las PYMES es probable que se generen diferentes niveles en la sensibilización, la formación y las necesidades de educación para los empleados individuales. Cultura de la seguridad: Procedimientos para responder a nuevos sucesos (como violaciones de seguridad) ayudarán a subrayar la importancia de la seguridad de la información a los trabajadores [27]. Los incentivos también pueden ser útiles para modificar el comportamiento de los empleados. Sin embargo, Rosanas y Velilla [14] advierten que los controles de la gestión debe estar basados en valores éticos. Comportamiento: Gestión de iniciativas destinadas a desarrollar los rasgos deseables de comportamiento respecto a la responsabilidad, integridad, confianza y ética del personal [20]. Sin embargo, valores fuertes son necesarios para apoyar las iniciativas de gestión [14]. Cuando los valores fuertes son difundidos entre entidades colaboradoras, empleados y otras partes interesadas, la seguridad de la información se fortalece [39]. El desarrollo de la motivación intrínseca es importante [35] y puede ser apoyada por la promoción al personal que cumpla las normativas de seguridad de forma adecuada [42]. Ética nacional y cultura organizacional: Según Helokunnas [39], la creación de foros de seguridad dentro del ámbito nacional puede favorecer la creación de una cultura de la seguridad de la información. Gerenciales: Políticas y Procedimientos. Evaluación comparativa. Análisis de Riesgos. Presupuesto. Gestión. Respuesta. Formación. Educación. Conciencia. Gestión del Cambio. Comportamiento: Responsabilidad. Integridad Confianza. Ética. Valores. La motivación. Orientación. Crecimiento Personal E-Learning: Cooperación, Colaboración y Conocimiento compartido Aprendizaje Individual y Organizacional Ética nacional y Cultura Organizacional Cultura del SI Figura 3. Marco para el desarrollo de la CS en la PYME [45]. Según las investigaciones realizadas por Dojkovski [45], los principales retos en el desarrollo de la cultura de seguridad de la información en las PYMES incluyen: Motivar a los propietarios para que asignen un presupuesto adecuado a la seguridad de la información. Convencer a los propietarios de realizar un análisis formal de los riesgos. Velar para que los propietarios desarrollen una política de seguridad de la información, desarrollen procedimientos y asignen responsabilidades. Desarrollar una postura proactiva hacia la seguridad scamara Máquina de escribir 17 scamara Máquina de escribir Santos-Olmo et. al.: Importancia de la seguridad en PYMES de la información. Identificar y establecer una serie de actividades de sensibilización para adaptarse a los entornos de las PYMES. Las principales conclusiones obtenidas de la aplicación del marco de trabajo son que aunque tiene valor de forma individual para identificar qué elementos debería tener un SGSI orientado a las PYMES y a la cultura de la seguridad, no es un modelo completo y utilizable. B. Propuesta de Sneza [60]. Plantea la construcción de un SGSI tomando como punto central el desarrollo de la cultura de seguridad de la información, y teniendo en cuenta cómo las personas piensan y se comportan. Por ello basaron su marco de trabajo en el establecimiento de la cultura de la seguridad en aspectos cualitativos en detrimento de los cuantitativos. Para definir su marco de trabajo, realizaron un estudio sobre PYMES Australianas de menos de 20 empleados [61]. Concienciación de seguridad de la Información Aprendizaje Individual y Organizativo G E S T IÓ N Cuestiones de comportamiento Ética Nacional/ Cultura Organizativa Gobierno Proveedores Influencias organizativas e Iniciativas Liderazgo / Gobierno Corporativo Cultura Organizativa Salidas Influencias externas e Iniciativas REVISAR / EVALUAR Cultura de Seguridad de la Información Responsabilidad. Integridad Confianza Valores éticos. Motivación Orientación personal Crecimiento. E-LEARNING FORMACIÓN EDUCACIÓN EVALUACIÓN G E S T IÓ N SENSIBILIZACIÓN MARKETING EVALUACIÓN Cuestiones de Gestión G E S T IÓ N Análisis de riesgos / Pérdida de Protección de Activos Presupuesto Políticas y Procedimientos Respuesta Auto evaluación Contratos / Manuales EVALUACIÓN Figura 4. Marco para fomentar la CS en las PYMES [60] En la Figura 4 se pueden ver los elementos que debería tener un SGSI basado en el fomento de la cultura de la seguridad de la información. En este marco se describen tres influencias externas: Ética nacional y cultura organizacional: las culturas nacionales pueden afectar a la organización de la seguridad de la información. La ética social también puede tener un impacto importante. Helokunnas [48] destaca la importancia de las redes sociales para compartir problemas de seguridad de la información y crear una conciencia sobre el tema. Las iniciativas del gobierno: Los gobiernos pueden jugar un papel fundamental para crear una cultura de seguridad de la información, aprobando legislaciones especiales y dando apoyos (cursos, subvenciones, etc). Proveedores: Los proveedores pueden proporcionar fiabilidad a las PYMES, como garantías adicionales de seguridad de los productos que les venden. Este marco de trabajo está formado por los siguientes elementos: Liderazgo y gobierno corporativo: Los propietarios de las PYMES deben demostrar que apoyan la gestión de la seguridad de la información. Según Dutta [59], el apoyo de la dirección se valoró mucho en las grandes organizaciones, pero no en el caso de las PYMES. Cultura organizativa: La cultura de la organización y del entorno influye directamente en el cumplimiento de la gestión de la seguridad. Gestión: Las PYMES consideran los resultados del análisis de riesgos como clave para garantizar que las políticas y procedimientos son realmente necesarios. Además, las PYMES deben guiarse por el riesgo de pérdidas de activos, derivado del análisis de riesgos. Martins había identificado esta necesidad en las grandes organizaciones. En tercer lugar, se debe asignar un presupuesto para la gestión de la seguridad, que incluirálas iniciativas para establecer una cultura de gestión de seguridad en los recursos. Martins sugirió anteriormente que el presupuesto tiene una gran influencia en las organizaciones. En cuarto lugar, los procedimientos que responden a incidentes de seguridad de la información ayudarán a subrayar la importancia de la seguridad de la información a los empleados, lo que también ha sido sugerido por OCDE [27] en general. En quinto lugar, las PYMES se verán favorecidas por evaluar periódicamente la cultura de la seguridad de la información. En sexto lugar, el contrato de trabajo debe incluir sanciones o incentivos a los empleados para influir en su motivación. Todos los procesos de gestión deben ser evaluados de forma periódica. Aprendizaje individual y organizativo: El e–learning, la formación y la educación son iniciativas potencialmente valiosas para el desarrollo de la cultura de seguridad de la información para las PYMES, como también lo son para las grandes empresas [35, 51, 58]. El intercambio de conocimientos, la cooperación y la colaboración son importantes para el aprendizaje en los distintos niveles de la organización y con el fin de desarrollar la cultura de seguridad de la información. Los procesos de aprendizaje deben ser evaluados periódicamente. Concienciación de seguridad de la organización: [58] ha sugerido medidas de sensibilización formales e informales para las PYMES. [35] propone incluir medidas de sensibilización que además tengan aspectos de persuasión. Revisión y evaluación: Las PYMES deberían examinar y evaluar periódicamente las medidas adoptadas con el fin de mejorar continuamente [12]. Comportamiento: Una serie de iniciativas externas e internas pueden desarrollar comportamientos de responsabilidad, integridad, confianza y ética. Según Dhillon [20], en las grandes organizaciones esta transformación parte de iniciativas de gestión interna, scamara Máquina de escribir CIBSI 2015 - ECUADOR, NOVIEMBRE 2015 scamara Máquina de escribir 18 mientras que en el marco propuesto [60] se reparte esta responsabilidad entre agentes internos y externos. Siponen [35] señala la importancia de la motivación intrínseca. Una medida eficaz para la organización es ofrecer beneficios a los usuarios que cumplan con el reglamento de seguridad del sistema de información [42]. Las principales conclusiones obtenidas de la aplicación de este marco de trabajo fueron: Los propietarios de las PYMES de Australia carecen de una adecuada comprensión de la importancia de la seguridad de la información para su negocio [23, 47, 48, 62]. Se debe persuadir a los propietarios de las PYMES de emprender un escenario formal basado en el análisis de riesgos y la protección de los activos de información. Los recientes hallazgos de la seguridad de la información han puesto de manifiesto una fuerte correlación entre el proceso formal de evaluación de riesgos y los gastos de la seguridad de la información [23]. Los propietarios de las PYMES de Australia no entienden el valor estratégico de las TI en su negocio. Otros estudios demuestran que esto no es un caso aislado, así un estudio de O’Halloran [63] determinó que las PYMES del Reino Unido no entienden cómo la seguridad les ofrece valores añadidos a sus negocios. Un requisito previo para el desarrollo de la cultura de seguridad de la información en las PYMES es el desarrollo y la comunicación de las políticas, procedimientos y responsabilidades. Como muchos expertos y estudios han señalado, la mayoría de las PYMES en los países desarrollados carecen de tales políticas [23, 47, 62]. La cooperación, colaboración, intercambio de conocimientos y aprendizaje electrónico para los empleados de las PYMES de Australia eran actividades valiosas. Este hallazgo coincide con el estudio realizado por ISBS [23]. Si bien los expertos han señalado la importancia de los valores de los usuarios hacia la gestión de la seguridad en las organizaciones sin importar su tamaño [11, 29, 48, 64], el estudio realizado por Sneza [60] demostró que es muy complejo inculcar estos valores a los usuarios de las PYMES. Algunas de las limitaciones que se desprendieron del estudio fueron: i) el análisis es interpretativo y las conclusiones están basadas en el estudio de un pequeño conjunto de PYMES australianas; ii) el marco carece de elementos aplicables sólo a las PYMES; iii) el marco de proceso carece de directrices detalladas para permitir su aplicación; iv) el estudio se centró en la investigación de PYMES de perfil técnico, cuyo personal ya tenía conocimientos técnicos; v) se desarrolló el marco centrándose sólo en el contexto Australiano, y por tanto puede no ser válido para otros países; vi) el marco no ofrece pro–actividad a la empresa y deja en ella la responsabilidad de ser dinámica. III. FRAMEWORK MARISMA La metodología para la gestión de la seguridad y su madurez en las PYMES que se ha desarrollado, permite a cualquier organización gestionar, evaluar y medir la seguridad de sus sistemas de información, pero está orientado principalmente a las PYMES, ya que son las que tiene mayor tasa de fracaso en la implantación de las metodologías de gestión de la seguridad existentes [65, 66]. Uno de los objetivos perseguidos en la metodología MARISMA es que sea sencilla de aplicar, y que el modelo desarrollado sobre ella permita obtener el mayor nivel de automatización y reusabilidad posible con una información mínima, recogida en un tiempo muy reducido [67]. En la metodología se ha priorizado la rapidez y el ahorro de costes, sacrificando para ello la precisión que ofrecían otras metodologías, es decir, la metodología desarrollada busca generar una de las mejores configuraciones de seguridad pero no la óptima, priorizando los tiempos y el ahorro de costes frente a la precisión, aunque garantizando que los resultados obtenidos tengan la calidad suficiente [68], apoyándose en otras normativas [69, 70]. Otra de las principales aportaciones que presenta la metodología que se ha desarrollado es un conjunto de matrices que permiten relacionar los diferentes componentes del SGSI (controles, activos, amenazas, vulnerabilidades, criterios de riesgo, procedimientos, registros, plantillas, instrucciones técnicas, reglamentos y métricas) y que el modelo utilizará, para generar de forma automática gran parte de la información necesaria, reduciendo de forma muy notable los tiempos necesarios para el desarrollo e implantación del SGSI [71]. Este conjunto de interrelaciones entre todos los componentes del SGSI, permite que el cambio de cualquiera de esos objetos altere el valor de medición del resto de objetos de los que se compone el modelo, de forma que se pueda tener en todo momento una valoración actualizada de cómo evoluciona el sistema de seguridad de la compañía. A1.1 Generación de tablas maestras A1.2 Generación de tablas del Nivel de Madurez A1.3 Generación de tablas del Análisis de Riesgos A1.4 Generación de tablas de biblioteca de objetos A2.1 Establecim. del marco de trabajo del SGSI A2.2 Establecim. del Nivel de Madurez A2.3 Realización del Análisis de Riesgos A2.4 Generación del SGSI A3.1 Obtener o renovar el certificado de cultura de segurid. A3.2 Ejecutar procedimientos del SGSI A3.3 Seguimiento cumplimient del SGSI InfSGSI Schema GEGS: Generación de Esquemas GSGS: Generación del SGSI MSGS: Mantenimiento del SGSI Know- How Figura 5. Subprocesos de la metodología. scamara Máquina de escribir 19 scamara Máquina de escribir Santos-Olmo et. al.: Importancia de la seguridad en PYMES De esta forma y a partir de la información obtenida mediante la implantación en diferentes empresas, se ha desarrollado una
Compartir