Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 Resumen – Actualmente, con el avance acelerado de la tecnología, surge la proliferación de nuevos modelos de negocio y junto con estos, diariamente surgen distintos tipos de amenazas que afectan la integridad, disponibilidad y confidencialidad de la información, que mayormente se almacena en forma de datos, para mitigar estas amenazas, es importante la integración de un gobierno de TI en las organizaciones desde el ámbito de seguridad, pues normalmente esta responsabilidad recae directamente en el área de TI o Seguridad de la información, esta integración se debe trabajar de manera articulada en las distintas áreas de la organización con el fin de generar y lograr un plan de seguridad exitoso. Abstract - Nowadays, with the fast technology advance, the proliferation of new business models arises and along with these, different types of threats are created daily affecting the integrity, availability and confidentiality of information, which is mostly stored in form of data, to mitigate these threats, it is important to integrate IT governance in organizations from the security field, normally this responsibility falls directly on the IT or Information Security area, this integration must be worked in an articulated way from the different organization departaments in order to generate and achieve a successful security plan. Índice de Términos – Gobierno, TI, seguridad, información. I. INTRODUCCIÓN Para muchas organizaciones hoy en día, el activo más importante es la información, ya que, en comparación a los negocios tradicionales, el acceso a la información, los sistemas y la tecnología, son fundamentales para el desarrollo de sus negocios, pues para grandes corporaciones, cómo Facebook, Google, Amazon etc. La información (datos) es como tal el negocio, motivo por el cuál, es importante proteger dicho activo y contar con la integración y participación de todos los miembros de la organización y no sólo delegar esta responsabilidad al área de TI o seguridad de la información. II. DESARROLLO Como se mencionaba, hoy en día, la información es uno de los recursos más importantes que se tienen actualmente, pues ya no sólo se encuentra en estado físico como bien se conoce, sino que la podemos encontrar de manera digital, en la cual muchas organizaciones concentran sus negocios, por ello, es importante dar el cuidado necesario a la misma, tarea que debe ser orquestada por la alta dirección, ya que no es una labor para el área de Tecnología de la Información, como se maneja normalmente, sino que es un tema transversal; razón por la cual, se debe tener en cuenta el gobierno de seguridad de la información, que Importancia del gobierno de TI en las organizaciones Nelson Esteban Buitrago Quintero Universidad Piloto de Colombia 2 sirve para integrar los procesos y las áreas de manera estratégica, para que estos estén alineados con los objetivos de la organización, comprobando que los riesgos son gestionados apropiadamente y para verificar que los recursos son usados de manera correcta. Es muy importante que se realice la integración mencionada, ya que, si cada área trabaja de manera independiente, se pueden generar brechas de seguridad, pues cada área se enfoca en salvaguardar sus activos, dejando a un lado los demás, situación que ocurre a menudo en las organizaciones, en las cuales se enfocan en adquirir lo más reciente en tecnología, pero no en tener el personal capacitado, como lo demuestran los estudios realizados por distintas empresas, uno de ellos es el realizado por Kasperski Lab [1], en el cual se demostró que casi el 50 % de los ataques de ciberseguridad se han dado por factor humano, ya sea por descuidos o por desconocimiento en seguridad informática, ya que cuando sufren ataques de seguridad, no saben cómo se debe actuar o cómo se deben reportar y de igual manera no son conscientes de las buenas prácticas de seguridad y de que el riesgo es latente no sólo dentro, sino también fuera de la organización. El aspecto más importante en el que se debe trabajar es en precisamente en la cultura, pues no es de mucha utilidad tener las mejores herramientas tecnológicas, o tener la solución tecnológica más avanzada de seguridad, como Firewalls, sistemas de prevención y detección de intrusos, anti virus, sistemas de protección de datos entre otros, si estas no se trabajan en conjunto con las áreas involucradas, en conjunto con la capacitación de personal de la organización y también en generar buenas prácticas de seguridad, pues ya sea por desconocimiento o descuido, es bien sabido, que “el eslabón más débil de la cadena de seguridad es el usuario”. De acuerdo con las cifras de los ataques de seguridad como en el artículo de Welivesecurity de la compañía ESET [2], se indica que los ataques de ingeniería social se habían duplicado en 2020 con respecto al año anterior, y que Colombia es el quinto país que más ataques sufre después de Perú, Brasil, México y Ecuador; por lo que es vital mitigar el riesgo de este tipo de ataques, mediante campañas de concienciación y sensibilización en seguridad para todo el personal, ya que si todos son conscientes de los riesgos a los que exponen las organizaciones, tendrán más precaución, lo que ayuda a fortalecer los objetivos de seguridad de la información. Para ayudar a lograr estos objetivos en los aspectos mencionados anteriormente, es de suma importancia establecer políticas y lineamientos de seguridad, donde se establezcan buenas prácticas, controles y procedimientos basados en los estándares y normas, para garantizar el mínimo riesgo que pueda afectar los pilares de la información (confidencialidad, integridad y disponibilidad), y que estos vayan siempre alineados con la estrategia del negocio. Cada vez es más crucial que el área de ciberseguridad, forme parte del gobierno corporativo, pues de acuerdo al estudio de ESET, los atacantes son implacables y se aprovechan de cualquier brecha de seguridad que pueda quedar a flote, y es importante que se cuente con la participación de cada una de las personas que formamos parte de las organizaciones, que todos estemos comprometidos, desde la alta dirección, hasta el personal operativo, ya que si todos trabajamos de la mano, estamos alineados, se cumplen las políticas de seguridad rigurosamente y se hace seguimiento y retroalimentación continua, se pueden lograr resultados muy satisfactorios. 3 Es importante que las acciones realizadas para el desarrollo del plan de seguridad de la información estén alineadas en todos los niveles de la organización, pues todos tienen un rol activo y deben contribuir para garantizar que el gobierno de TI esté alineado con los objetivos del negocio. Desde la alta dirección, se debe generar y dar a conocer la pauta para mostrar la importancia de la seguridad en todas las áreas de la organización y mostrar porqué debe ser implementada la gobernanza de TI, para realizar esto, es necesario establecer políticas donde se identifiquen los roles y responsabilidades de la organización, las cuales deben ser comunicadas a todos los empleados y también se deben realizar mediciones, para determinar el estado actual y las posibles brechas de seguridad, estas mediciones se deben realizar de manera periódica para detectar nuevas brechas y poder actuar rápidamente , de acuerdo a los resultados, es de suma importancia que después de realizar el ejercicio, se realicen campañas de concienciación, capacitación y educación para que se refuercen las buenas prácticas de seguridad y se puedan lograr los objetivo. Para que un programa de seguridadsea exitoso, como se menciona en Information Security Governance Guidance for Boards of Directors and Executive Management [3], hay una serie de preguntas que debe ser formuladas desde tres frentes diferentes, el primero es, formular preguntas con el fin de descubrir los problemas de seguridad de la información, una vez se dé respuesta, el segundo es formular preguntas para determinar cómo la alta dirección aborda los problemas identificados en el primer frente, una vez se den estas respuestas, el tercero es formular preguntas para hacer una autoevaluación de las prácticas de gobierno de seguridad, con el fin de hacer una retroalimentación de las mismas y reforzar estas prácticas. Para lograr el éxito de los objetivos, COBIT [4] sugiere cinco resultados básicos, reduciendo los impactos a un nivel aceptable. El primero de ellos es la alineación estratégica, la cual trata de siempre trabajar en función de los objetivos de la organización. El segundo es la gestión de riesgos el cuál es uno de los más importantes que se deben tener, pues a través de este se logra lo que se mencionaba anteriormente que es el objetivo clave de seguridad de la información que es reducir los impactos a un nivel aceptable. El tercero es la gestión de recursos, el cual consiste en conocer los activos de la organización, y darle un uso eficiente y efectivo. El cuarto es la medida del desempeño, que garantiza a que se cumplan los objetivos organizacionales. El quinto y último es la entrega de valor, que es la retroalimentación de los resultados y de cómo se muestra la importancia de los procesos de gobierno de seguridad de la información. Las iteraciones de los procesos que se plantean en el gobierno de seguridad evolucionan y se adaptan a medida que pasa el tiempo, apuntando siempre a la mejora continua, por lo que se podría afirmar, que estos procesos no tienen fin, pues siempre se estará retroalimentando y aportando nuevas actividades. Las organizaciones que no tengan en cuenta estos procesos comenzaran a encontrarse en desventaja, ya que pueden llegar a ser atacadas por ciberdelincuentes, pues ellos lograrán evidenciar la falta de controles y políticas en estas organizaciones que van relacionadas directamente a la falta de una implementación correcta de un gobierno de TI. La alta dirección debe ser consciente que la ausencia de controles y políticas de seguridad constituye un riesgo que se ve reflejado en costos y que, de no remediarlos, se expone a una exposición y pérdidas financieras mayores, como se indica en la investigación realizada por 4 Aberdeen Group [5], la cual indica que las pérdidas ocasionadas por una seguridad ineficaz, se pueden reducir hasta en un 90 % mediante la implementación de prácticas de seguridad conocidas y de uso común, lo que debe generar una gestión responsable de seguridad en la organización. III. CONCLUSIÓN Para que un gobierno de TI sea exitoso, se deben integrar todas las áreas de la organización guiadas por la alta dirección, alineando los objetivos estratégicos del negocio, haciendo una correcta gestión de riesgos, una optima gestión de los recursos, haciendo mediciones repetitivas del rendimiento de los procesos y controles de seguridad y generando entrega de valor asegurando el cumplimiento de las normas regulatorias y adoptando las recomendaciones establecidas en los estándares, normas y buenas prácticas de seguridad de la información. IV. RECONOCIMIENTO Agradezco la inspiración de esta temática, para el desarrollo del documento, a la docente Sandra Lorena Ocampo Correa, que a través de sus clases me brindó el conocimiento y herramientas principales, en gobierno de TI, el cuál era nuevo para mí, pues no había tenido la oportunidad de ahondar en este tema de tanta importancia para el desarrollo profesional, pues es aplicable en cualquier organización. V. REFERENCIAS [1] Kaspersky Lab. (2017, Nov). THE HUMAN FACTOR IN IT SECURITY [Online]. Available: https://media.kasperskycontenthub.com/wp- content/uploads/sites/100/2017/11/10083900/20170710_Rep ort_Human-Factor-In-ITSec_eng_final.pdf [2] L. Lubeck. Eset (2021, Jan 7). En 2020 se duplicaron las detecciones de ataques de ingeniería social [Online]. Available: https://www.welivesecurity.com/la- es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria- social/ [3] IT Governance Institute "Information Security Governance Guidance for Boards of Directors and Executive Management", 2nd Edition, pp. 49, 2006 [4] IT Governance Institute “COBIT Security Baseline” US, 2004 [5] Aberdeen Group, “Best Practices in Security Governance”, USA, 2005 VI. BIOGRAFÍA Buitrago Quintero Nelson Esteban: Ingeniero en Telecomunicaciones graduado de la Universidad Militar Nueva Granada en el año 2013, ejerciendo en el área de la seguridad, con distintas certificaciones como ISO 27001, ITIL 4, Checkpoint Certified Security Expert, diplomado en gerencia de proyectos y actualmente realizando posgrado en Seguridad informática en la prestigiosa Universidad Piloto de Colombia. https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/ https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/ https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/
Compartir