The Infonomics Letter – Marzo de 2011

Manteniéndose a Salvo

Bienvenido a The Infonomics Letter de marzo de 2011.

En algún momento de 1978, asistí a una conferencia en la que varias empresas hacían demostraciones de software en uno de los equipos de batalla de la época – un DEC PDP-11. Por curiosidad, fui a una consola del sistema he inicie una sesión. No hacía falta preguntarle a nadie la contraseña – la mayoría de los PDP-11 ejecutando aquel sistema operativo utilizaban la contraseña originalmente de fábrica, y nadie en la fábrica vio ninguna necesidad de contraseñas diferentes. Cuando se liberó la primer PC, ni siquiera tenía los medios para identificar a usuarios diferentes – y mucho menos mantenerlos separados con diferentes contraseñas.

En 1987, recién llegado de Londres, tomé mi tarjeta de cajero automático y me dirigí a un cajero automático para restablecer el PIN. Yo estaba horrorizado de que, después de haber ingresado mi PIN viejo y nuevo, a continuación el cajero automático comprobó que había entrado en mi nuevo PIN correctamente – mostrándolo en grandes dígitos en la pantalla. Afortunadamente nadie estaba mirando. Por supuesto, los bancos han aprendido mucho desde entonces, y nunca se muestran un PIN de los clientes hoy en día. Pero mientras que los bancos han aprendido algunas cosas sobre seguridad de la información, uno se pregunta acerca de la comunidad en general. En una edición anterior de esta Letter he escrito un comentario de operadores de sitios web que, después de haber exigido configurar una cuenta individual con una contraseña segura, a continuación tienen la amabilidad de enviarnos un correo electrónico de texto sin cifrar donde ponen toda esa información de identidad y que se puede ver por cualquier adolescente con las herramientas más primitivas de hacking. Una lista de correo que utilizo muy bien, me recuerda cada mes mi nombre de usuario y contraseña. ¡Usted puede apostar que mantengo esa cuenta en cuarentena y con un nombre falso!

Hace poco escribí sobre la terrible falta de control de acceso en tiendas de telefonía móvil a cargo de Vodafone Hutchison Australia (edición de enero). Ahora encuentro que otra compañía telefónica requiere una contraseña segura para el acceso a cuentas de clientes en línea y, a continuación requiere que el cliente diga parte de la contraseña en el acceso al centro de llamadas – todo con la contraseña visible para el operador del centro de contactos. ¿No entienden seguridad de la información?

La inquietud pública sobre las violaciones de seguridad de la información y las débiles garantías utilizadas por muchas organizaciones están impulsando una enérgica acción normativa y legislativa. El alto costo probable de la seguridad de la información en el futuro, puede ser en parte una consecuencia que las organizaciones no tomen medidas rápidas y decisivas para dirigir y controlar su seguridad de la información. Pero si bien la legislación puede obligar a las organizaciones a prestar atención a la seguridad de la información, no se puede definir cómo hacer el trabajo. Así, el tema clave de este mes explora cómo los que gobiernan las organizaciones pueden dirigir y controlar sus sistemas de seguridad de la información. ¡Disfrute!

Mark Toomey, 31 de marzo 2011

Gobierno de la Seguridad de la Información

Los informes de prensa de violaciones de seguridad de la información son hoy en día un hecho casi a diario. Si tenemos una visión global, habría decenas, si no cientos de violaciones presentadas y discutidas todos los días de la semana. Entre los titulares señalados por Infonomics en marzo de 2011 se vio:

  • Robo de datos de BP una advertencia para las empresas australianas
  • Cajeros automáticos Aussie – el hazmerreír
  • Hacker se hace con la base de datos de clientes de correo electrónico de TripAdvisor
  • Play.com advierte violación de la base de e-mails de clientes
  • Advertencia sobre las debilidades de seguridad de Skype
  • Delincuentes de alta tecnología burlan la ley
  • Gobierno francés afectado por espectacular ataque cibernético
  • Los hackers golpean las computadoras del Ministro Gillard

Lo anterior es solo una pequeña muestra de los muchos casos en todo el mundo donde los criminales están directamente, de forma activa y en muchos casos a la búsqueda agresiva de obtener ganancias mediante la obtención de acceso, utilizando o cambiando datos personales sensibles y con información financiera.

Pero protegerse contra las acciones de los criminales es sólo una dimensión de seguridad de la información. Otra dimensión, cada vez más relevante es la de mantener la información disponible y segura contra la pérdida accidental o destrucción. Estos titulares ilustran el punto:

  • Los mensajes de Gmail se desvanecen para 150.000 clientes
  • Los CIOs advirtieron sobre priorizar la gobernabilidad y la continuidad de negocio
  • Fallo de alimentación de Telstra saca de servicio los teléfonos de contacto del correo de Australia

Los gobiernos, las empresas y los individuos de hoy dependen que su información esté disponible para ellos en cualquier momento y desde, en muchos casos, cualquier lugar. La pérdida de acceso, incluso por períodos cortos, en el mejor de los casos causa frustración y molestias, y en el peor, puede resultar en graves consecuencias para los individuos y organizaciones.

Los riesgos de la seguridad de la Información no se limitan a cuestiones externas y técnicas. Hay muchos casos donde la privacidad y la integridad de la información están en riesgo debido a lo que en un principio se desestimó por factores benignos. En Australia recientemente, un proveedor de telefonía móvil se vio obligado a actuar después de haber sido ampliamente castigado en la prensa por no garantizar un nivel adecuado de control de acceso del personal a los registros de clientes. En Gran Bretaña, la nueva Oficina del Comisario de Información, está emitiendo considerables multas a las organizaciones que tienen laxas medidas de seguridad de datos.

El Mensaje es Claro

A medida que nuestro mundo se mueve rápidamente hacia la plena realización de la era de la información, se ha vuelto muy claro que la seguridad de la información es un asunto crítico para cada individuo, organización y gobierno.

Las consecuencias del fracaso en la seguridad de la información van desde lo relativamente benigno y trivial, a lo extraordinario. El problema es que lo que puede ser benigno en un caso puede ser devastador en otro. Lo que puede ser una molestia en un nivel, puede crear un impacto inmenso en otro. La violación del correo electrónico a un adolescente puede exponer un chisme jugoso. La violación de los sistemas de correo electrónico utilizados por un alto ejecutivo de una nación puede resultar en consecuencias internacionales. La exposición de la contraseña de un cliente en los sistemas internos podría permitir a un empleado temporario robar la identidad del cliente y, posteriormente, acceder a esa información de un mismo cliente en poder de otras organizaciones – ¡incluyendo los bancos!

Cada persona y cada organización tienen el deber de proteger su propia información, en sus propios intereses. Ahora, todas las personas y especialmente cada organización tienen el deber de proteger la información que poseen de los demás. Descuidar esta obligación pone a los otros en riesgo de consecuencias sobre las que no tienen ningún control. Cada vez más, los gobiernos y otras agencias reguladoras están reconociendo la magnitud de estos riesgos y, ante la incapacidad del mercado para actuar en consecuencia, están incorporando las obligaciones establecidas en la legislación y hacer cumplir la legislación agresivamente.

La supervisión del riesgo es un elemento fundamental de la gobernanza para todos los tipos de organización. La seguridad de la Información ya no es sólo un campo emergente de riesgo – está bien establecido como un campo de riesgo crítico y altamente activo que debe ser prioritario en la agenda del órgano rector de cada organización. El órgano rector debe velar por que la organización tiene una buena comprensión del riesgo de la seguridad de la información al que se enfrenta, de forma continua, que tiene un tratamiento adecuado y eficaz para el riesgo, y que exista un régimen de supervisión que tanto mantiene el régimen de la seguridad de la información eficaz, garantizando al mismo tiempo que los incidentes que ocurren son resueltos con eficacia y eficiencia.

Estas obligaciones del órgano de gobierno con respecto al riesgo de la información, mapea directamente a las tareas para la gobernanza de tecnología de la información descrita en la norma ISO 38500, el estándar internacional para la gobernanza de tecnología de la información. Como la gran mayoría de la información del mundo se almacena y se comunica utilizando tecnología de la información, no es razonable ver las tareas de gestión de la seguridad de la información como un subconjunto de las tareas de gobierno de la utilización de tecnología de la información. De hecho, como uno puede fácilmente argumentar que las tabas de piedra, el papel y así sucesivamente, son simplemente formas tempranas de tecnologías de la información (tecnologías para la captura, almacenamiento, procesamiento y difusión de información), las recomendaciones para la gobernanza de TI en la norma ISO 38500 deben guiar la gobernanza de la seguridad de la información independientemente del medio en el que se almacena la información.

Un modelo para la gobernanza de la Seguridad de la Información

El modelo para la gobernanza de TI presentado en la norma ISO 38500 es igualmente aplicable a los aspectos específicos del uso de TI, como lo es para el uso general de TI. Por lo tanto, proporciona un marco ideal de referencia para la discusión de la gobernanza de la seguridad de la información, y puede ser muy específico sólo por el perfeccionamiento de la terminología.

El modelo muestra que:

  • El órgano de gobierno, a través de la gestión, debe evaluar la situación actual de la organización en la seguridad de la información y las opciones para garantizar que tenga un nivel adecuado de seguridad
  • El órgano de gobierno debe dirigir la gestión con respecto a los objetivos de la seguridad de la información, junto con las políticas que condicionan las decisiones que la gestión hace sobre seguridad de la información
  • La gestión debe, según las indicaciones del órgano de gobierno, poner en marcha la capacidad y los mecanismos necesarios para alcanzar los objetivos de la organización para la seguridad de la información
  • La gestión deberá integrar las capacidades de la organización en la seguridad de la información con las operaciones diarias de la organización y deben asegurarse de los arreglos de la seguridad de información son parte de la forma en que la organización lleva a cabo su actividad
  • El órgano rector debe supervisar las actividades en curso de la organización para la conformidad con las políticas establecidas para la seguridad de la información, y deben supervisar las medidas de seguridad de la información para la eficacia en el contexto de las metas establecidas y la evolución de las condiciones del mercado.

Evaluar la Seguridad de la Información

ISO 38500 establece que el órgano de gobierno para cualquier organización debe evaluar, dirigir y supervisar el uso de la tecnología de la información. Se sigue lógicamente que el órgano de gobierno debe evaluar, dirigir y supervisar la situación de la seguridad de la información.

Como se describe en Waltzing with The Elephant, evaluar la seguridad de la información no requiere necesariamente que el órgano de gobierno haga directamente una evaluación de las amenazas y sus tratamientos. En su lugar, significa que el órgano de gobierno debe asegurarse que la gestión lleva a delante esa evaluación y que esta se repite a intervalos regulares. El proceso de evaluación debería asegurar que la administración tiene una clara comprensión de los riesgos y las opciones para tratarlos, y debería resultar en recomendaciones para el órgano de gobierno acerca de la aceptación de los riesgos tolerables, el tratamiento de los riesgos intolerables, y cualquier riesgo residual que no puede ser controlado ni en una forma práctica o efectiva en su costos.

A través del trabajo de la gestión para evaluar el riesgo, el órgano de gobierno debe ser apropiadamente informado del riesgo en la seguridad de la información. Para obtener una zona de confort y asegurarse que la evaluación de la administración es correcta, el órgano de gobierno debería de tanto en tanto obtener un asesoramiento independiente exterior. Los miembros del órgano de gobierno prudentes, así como también sus gerentes, deberían también obtener una evaluación del clima general en el riesgo de la seguridad de la información, abarcando no solo la aparición de categorías específicas de riesgo sino también su declinación, y la eficacia de las opciones de tratamiento.

La información y las recomendaciones preparadas por la gestión formarán la base para las recomendaciones del órgano de gobierno. Para asegurarse que esa dirección provista será la correcta, el órgano de gobierno debe probar rigurosamente la claridad de la administración y la profundidad de la comprensión de la evaluación, así como también la confianza y el compromiso con los tratamientos recomendados. Por ejemplo, como la información es una parte invariablemente inseparable del negocio, es recogida y utilizada en muchas partes diferentes del negocio, se verá como insuficiente un solo responsable para todos los aspectos de la evaluación y tratamiento de la seguridad de la información, a menos que haya una obvia y consistente visión a través de todo el equipo de gestión. Por otro lado, el órgano de gobierno tiene que estar preocupado acerca de una evaluación y tratamiento de la seguridad de la información que se distribuye a través de todo el equipo de gestión con la falta de una cohesión obvia en los riesgos y sus tratamientos.

Dirigir la Seguridad de la información

Basado en la evaluación de la información provista por la administración y, si se considera apropiado desde fuentes alternativas, y confrontadas con el contexto de conciencia del mercado, el órgano de gobierno debe proveer una clara dirección a la administración acerca de los objetivos de la organización con la seguridad de la información, y los arreglos necesarios para lograr esos objetivos. En muchos casos, la dirección específica debe ser propuesta por la administración como una forma de facilitar la evaluación del órgano de gobierno, permitiendo que puedan tomarse las decisiones claves, pero evitando el requerimiento para el órgano de gobierno que tenga un conocimiento específico en la seguridad de la información.

La dirección en la seguridad de la información debería incluir un conjunto de temas incluyendo;

  • Conformidad con las leyes aplicables y todos los aspectos de la seguridad de la información
  • El apetito de riesgo de la organización acerca de la seguridad de la información
  • Inversiones en la capacidad necesaria para resguardar la seguridad de la información
  • Locación de recursos para permitir el desarrollo y las operaciones corrientes
  • Aseguramiento acerca de la eficacia de los métodos
  • Registro, seguimiento y reportes de los incidentes
  • Comportamiento de la organización, su personal y agentes
  • Comportamiento de la organización y sus principales ejecutivos en el caso de un incidente mayor con la seguridad de la información

Supervisar la Seguridad de la Información

Los criminales y otros grupos subversivos trabajan incansablemente para descubrir nuevas formas de pasar las medidas de seguridad de las organizaciones. Está lejos de ser suficiente la inversión por única vez en la seguridad de la información y tratar el tema como resuelto. En lugar de eso, las organizaciones deben mantener conciencia del cambiante panorama de la seguridad de la información y tomar las acciones necesarias para mantener el nivel deseado de protección tal cual lo indicado por el órgano de gobierno.

Mientras que la capacidad y el impacto de los comportamientos criminales continúen creciendo, las investigaciones y muchos casos anecdóticos han demostrado que muchas de las mayores amenazas de la seguridad de la información vienen desde dentro de la organización (incluyendo los arreglos de externalización). Los controles internos y otros arreglos para mantener la seguridad de la información se pueden degradar con el tiempo como una consecuencia natural de otros aspectos del cambio de la organización y la rotación de personal. Así que, las organizaciones deben incorporar dentro de su régimen de supervisión elementos específicos que destacarán una perdida inaceptable de rigurosidad en los arreglos de la seguridad de la información de forma anticipada a cualquier posible violación.

Los medios precisos por el cual cualquier organización supervisa la seguridad de la información variará de acuerdo a sus circunstancias. Sin tenerlos en cuenta, los métodos de supervisión deben proveer la demostración de la eficacia de los métodos actuales, como así también destacar cualquier cambio significativo en el panorama de la seguridad de la información.

Considerando que los incidentes con la seguridad de la información pueden ocurrir sin previo aviso y escalar desde lo que en principio parece una infracción menor hasta lo que en última instancia puede tener amplias consecuencias, es esencial que los arreglos de supervisión no solo proveen al órgano de gobierno una alerta temprana de la seriedad de la situación, sino que provean una camino efectivo para escalar el serio incidente para que reciba una pronta y comprensiva atención desde los niveles apropiados de gestión.

Principios del Gobierno de la Seguridad de la información

Así como en el modelo de gobierno de TI, los principios para la buena gobernanza de TI expresados en ISO 38500 son altamente relevantes en el contexto de la seguridad de la Información. Cuando se los considera a la luz de la seguridad de la información, los principios ayudan a las organizaciones a definir el comportamiento que se intenta exhibir como un todo, y el comportamiento que se requiere del personal con respecto a la seguridad de la información. En este contexto, los principios proveen una base poderosa para el desarrollo de las políticas, y a través de esa política, una guía para las decisiones que serán hechas acerca de la identificación y el tratamiento de los riesgos de la seguridad de la información.

Responsabilidad

A través de la organización, debe existir una asignación clara y comprendida de la responsabilidad de la seguridad de la información. Desde una perspectiva amplia, la organización en su conjunto debe aceptar que tiene responsabilidades operacionales, legales, éticas y morales para mantener una seguridad adecuada de la información que tiene. Con esta amplia comprensión, es necesario establecer las asignaciones específicas de responsabilidad de los individuos para la seguridad de la información a través de la organización.

La sola realidad que la información está predominantemente almacenada utilizando TI, no significa que automáticamente los especialistas de TI son los únicos responsables de la seguridad. Hay muchas formas en que la seguridad puede ser violada por personal muy lejos de TI, como la disposición de material impreso sin ningún cuidado, o aun haciendo que las pantallas de los computadores sean visibles para personal no autorizado o del exterior.

Un enfoque efectivo hacia la seguridad de la información requiere un enfoque comprensivo hacia la responsabilidad. En muchos casos, cada individuo de la organización llevará alguna responsabilidad por la seguridad de la información, mientras que un número limitado de personal tendrá responsabilidades muy específicas y a veces onerosas. Para evitar la redundancia y la superposición, se deben identificar los aspectos de responsabilidad de la seguridad, comunicarse claramente y reforzados regularmente. Los individuos deben comprender su responsabilidad, tener el entrenamiento, la capacidad y otros medios para descargarla, y deben ser provistos de incentivos para que lo hagan diligentemente.

Estrategia / Planificación

La fijación de objetivos con respecto a la seguridad de la información deben ser alcanzable y deben ajustarse claramente a las exposiciones, el contexto y las aspiraciones de la organización como un conjunto. Los arreglos para mantener la seguridad deben estar alineados con los objetivos, y ser tanto efectivos como eficientes. Los recursos deben alocarse para lograr y mantener el nivel deseado de desempeño y la conformidad debe ser adecuada a la tarea, no solo en las circunstancias normales, sino que también cuando ocurren incidentes serios.

Mientras que ya se tengan un conjunto de requerimientos, los puntos anteriores muchas veces son tenidos en cuenta solo en el contexto de la seguridad de la información sobre un entorno intrínsecamente inseguro de almacenamiento de datos. Pero mientras un pan de multigranos no se hace cavando profundamente en un saco de semillas, alcanzar efectivos y verdaderos arreglos para la seguridad de la información típicamente requieren un atención fundamental como una parte integral de la planificación, la construcción y la operación de los actuales sistemas de información de la organización.

Asimismo, además de asegurarse que hay un alineamiento apropiado y recursos para las manifestaciones externas de la seguridad de la información, el principio de estrategia debería causar que las organizaciones piensen en cómo hacen de la seguridad de la información un elemento integral de los sistemas de información y del entorno de negocios.

Claramente, considerar la frecuencia y la severidad de las “actualizaciones de seguridad” del software que utilizamos hoy en día, existe un doble desafío en primero establecer una cultura y los recursos necesarios para hacer que los sistemas de información sean intrínsecamente seguros en primer lugar, y luego sobrellevar las ineficiencias que se presentan en la tecnología establecida que pueden quedarse por un largo periodo de tiempo (algunos sistemas de bancos, por ejemplo, tiene cerca de 15 años de antigüedad).

El balance es esencial en la planificación y afectación de recursos para la seguridad de la información. Es muy fácil, y completamente inapropiado, sobre alocar para riesgos de un alto impacto y poca probabilidad, mientras que la sobre inversión en los más mundanos pero más probables riesgos que no pueden causar un daño significativo en las operaciones, la reputación o las finanzas.

Adquisición

Las decisiones de invertir en la capacidad de seguridad de la información se deberían tomar por las razones correctas y de manera adecuada.

Fundamentalmente, este principio se centra en la importancia de invertir en seguridad de la información sólo cuando así se lo aconseja, y de una manera que ofrece el tratamiento óptimo para el riesgo a través de la vida útil de la inversión. También proporciona un contexto diferente para el caso de negocios donde, en una resaca extraña de la voluntad de invertir sólo en proyectos rentables de TI, las inversiones en seguridad de la información también están obligadas a demostrar un resultado financiero positivo. Por el contrario, una propuesta de inversión en seguridad de la información debe ser inalienablemente vinculada con un riesgo claramente identificado y que pueda demostrarse la opción más adecuada para el tratamiento del riesgo.

Esto no quiere decir que, literalmente, todos los riesgos y cada compra individual tienen que estar vinculadas a través de un caso de negocio. Hay una comprensión bien establecida de los elementos básicos de información sobre riesgos de seguridad que se corresponde con la bien establecida, a través de la continua evolución de las mejores prácticas en la configuración de la infraestructura y sistemas para proporcionar la primera línea de protección. Sin embargo, la existencia de tal conocimiento no debe ser tomado como carta blanca para el gasto excesivo en la tecnología en aras de la seguridad de la información – las decisiones de inversión aún deben realizar en forma clara, si breve, la confirmación de la exposición al riesgo y la aptitud para el propósito.

Las decisiones de invertir en los sistemas de negocio posibilitados por TI, ya sea personalizados o desarrollados mediante la adquisición de paquetes de software, debe incluir la consideración adecuada de los riesgos de seguridad de la información para ese sistema y la tecnología de soporte como parte integrante de la decisión de adquisición. Teniendo en cuenta el grado de riesgo de seguridad de la información que enfrenta la mayoría de las organizaciones, debe ser considerado como inaceptable que se aplace el examen de seguridad de la información hasta después que se hace la adquisición o la construcción y se haya completado la integración, es probable que la adaptación de disposiciones de seguridad de información sea – por lo menos – complejo y costoso, y puede ser poco práctico e inalcanzable.

Esto no significa que las inversiones en una nueva capacidad sólo se permiten si incorporan un alto nivel de seguridad de la información. Más bien, significa que la decisión de adquisición debe pesar una comprensión clara de los riesgos de seguridad de la información y protección, así como otros factores a favor y en contra de la decisión.

Las decisiones de infraestructura también requieren una consideración especial de los riesgos de seguridad de la información y tratamiento. El advenimiento de la infraestructura y funcionamiento del outsourcing, software como servicio y la computación en nube pueden obviar la necesidad de una organización para mantener sus habilidades y proporcionar entornos de infraestructura, pero no exime a la organización de asegurarse que se tratan apropiadamente los riesgos de la seguridad de la información a nivel de infraestructura, en el contexto de sus actividades propias de negocios.

Desempeño

En ISO 38500, el principio de desempeño dice en esencia que el rendimiento de los sistemas de información deben satisfacer las necesidades razonables de la organización – deben funcionar bien, siempre que son requeridos.

Esto también debería ser la norma para la seguridad de la información. El régimen de seguridad de la información debe funcionar bien, siempre que sea requerido.

Puede ser que sea demasiado fácil considerar este punto sólo en términos de la eficacia de las medidas de seguridad de la información para prevenir, detectar y resolver incidentes. Por supuesto, estos asuntos deben ser objeto de una atención adecuada y permanente. Sin embargo, también debe considerarse cómo las medidas de seguridad la información interactúan con el sistema completo de la empresa, para asegurarse de que existe un equilibrio adecuado entre el costo de los controles necesarios y la eficiencia y eficacia de la empresa en general. Cuando hay una reducción inaceptable en el desempeño del negocio o el desempeño de los individuos, también hay a menudo la tentación de eludir los protocolos de seguridad de la información, mejorando el rendimiento del negocio y el desempeño, pero a menudo un riesgo significativo de violaciones de seguridad de la información.

El carácter constante de algunos tipos de seguridad de la información “hacking” significa que algunos de los controles más básicos en las organizaciones están efectivamente bajo prueba constante y su eficacia y rendimiento se puede medir fácilmente. Sin embargo, los esfuerzos más exóticos y sofisticados de delincuentes y otras entidades hostiles rara vez son continuos – son más propensos a ser repentinos, intensos y únicos. Estas técnicas también están en desarrollo constante e intenso, con una corriente significativa de colaboración por parte de grupos independientes que permiten un rápido desarrollo y despliegue –a la velocidad de la luz – de las nuevas formas de ataque. Las organizaciones que se presentan como siendo un objetivo de alta probabilidad de esos ataques, deben utilizar un régimen adecuado de las pruebas en curso para dar garantías de que los acuerdos de seguridad de la información son aptos para las condiciones actuales y previsibles.

Sin embargo, esto no significa que sólo las organizaciones con un riesgo sustancial deben probar sus regímenes de seguridad de la información. La realidad en el mercado actual es que la mayoría de las organizaciones tienen un riesgo significativo y por lo tanto todos deben llevar a cabo adecuadas pruebas de rutina.

Conformidad

Cada vez más, y probablemente como consecuencia de que las organizaciones no garantizan la seguridad de la información adecuada y el comportamiento relacionado, los gobiernos están legislando las obligaciones mínimas, y a veces severas y onerosas, para la seguridad de la información. Con algunas jurisdicciones imponiendo sanciones severas por infracciones confirmadas de seguridad de la información, es de vital importancia que las organizaciones están bien informadas de las leyes pertinentes al considerar su riesgo para la seguridad de la información y tratamiento, y que se mantengan informadas de la evolución de la situación jurídica.

Algunas industrias están actuando para dirigir y controlar el comportamiento de sus miembros, en un esfuerzo por garantizar la seguridad de la información adecuada. En algunos casos, como en el estándar de seguridad de datos (PCI DSS) de la industria de tarjetas, hay importantes obligaciones de conformidad que se imponen a las organizaciones que anteriormente gozaban de una libertad casi total con poco o ningún reconocimiento de los riesgos que estaban tomando.

Históricamente, muchas organizaciones se acercaron a la seguridad de la información como si el riesgo estaba predominantemente con la actividad y el comportamiento del personal de primera línea. Los controles internos y las políticas tienden a centrarse en el control y el uso de contraseñas y restricciones en el uso de medios extraíbles. Si bien sigue siendo importante, estas herramientas para la gestión del riesgo de seguridad de la información hoy en día deben ser complementadas por una gama más amplia y claramente articuladas, bien comunicadas y hacer cumplir las políticas para regular el espectro completo de las decisiones y comportamientos de otros responsables de la seguridad de la información. No es el propósito de este trabajo ofrecer un tratamiento exhaustivo de las políticas que puedan ser necesarias. Sin embargo, se sugiere que los principios para la gobernanza de TI, y ahora demostrado como también es relevante en la gestión de seguridad de la información, deben servir de base para un conjunto general de las seis declaraciones políticas que definan claramente el comportamiento esperado en la seguridad de la información de la organización su riesgo y tratamiento, en lo que se refiere a la responsabilidad, la planificación, adquisición, el rendimiento, la conformidad y el comportamiento humano.

Comportamiento Humano

Los riesgos y retos de hoy en día son claramente un problema de la conducta humana. Por un lado, si la mayoría de los seres humanos tienden a ser de confianza y ven un mundo perfecto, no habría necesidad de seguridad de la información que no sea para protegerse contra la posibilidad de pérdida mecánica. Por otro lado, nuestra sociedad es anfitriona de comunidades y grupos que, por diversas razones, se comportan de manera poco ética, a fin de obtener acceso para afectar, dañar y otra forma de interferir con la información en poder de los individuos, organizaciones y gobiernos.

Ninguna evaluación de riesgo de seguridad de la información, y los planes para el tratamiento del riesgo, pueden considerarse completos a menos que los aspectos relevantes de la conducta humana sean considerados y acomodados. En la mayoría de los casos, es importante identificar una variedad de comunidades humanas en las cuales se centra el análisis y tratamiento del riesgo. Estas comunidades a menudo necesitan ser subdivididas de manera que los diversos comportamientos pueden ser bien entendidos.

Uno de los muchos desafíos en el uso contemporáneo de la tecnología de la información es que las personas de quienes dependemos para el comportamiento apropiado en materia de seguridad de la información están fuera de nuestro control inmediato y autoridad. Donde la aplicación de seguridad de la contraseña puede ser forzada, por ejemplo por la consecuencia de una acción disciplinario, ¿cómo se puede hacer cumplir la seguridad de la contraseña cuando la mayoría de los usuarios no son nuestros empleados, sino los clientes?

El esfuerzo por comprender correctamente las comunidades humanas y sus diferentes comportamientos es una parte esencial para establecer un entorno de información de seguridad efectiva en cualquier organización. Las diferentes comunidades pueden y van a crear exposiciones muy diferentes en lo que es el contexto mismo del negocio. Por otra parte, las diferentes respuestas de estas comunidades y los tratamientos que se pueden optar también pueden variar notablemente, en la medida en que lo que es una demanda benigna en una comunidad puede ser una imposición intolerable para otra. Una misma talla no puede caber a todos, y las decisiones importantes puede ser necesario acomodarlas a los grupos de interés y que se les niega.

En conclusión

En este artículo se ha discutido la seguridad de la información desde una perspectiva de nivel de gobierno superior. Hace hincapié en que la seguridad de información es en realidad un tema importante y permanente para supervisión de la gobernanza. Se demuestra, sin embargo, que la supervisión depende de la gestión de gobierno haciendo un gran esfuerzo, y proporciona un contexto en el que los órganos de gobierno pueden dirigir y controlar los acuerdos de su organización para la seguridad de la información sin necesidad de conocimientos tecnológicos en profundidad. Coloca a la seguridad de la información como un tema que debe abordarse en relación con la supervisión de la utilización de tecnología de la información, ya que éste es a la vez el repositorio principal y el canal principal para la realización de riesgo en la información personal, empresarial y gubernamental. Sin embargo, destaca que la seguridad de la información no es más que otro deber de los especialistas en tecnología de la información, pero en realidad es un derecho básico para todos los miembros de una organización.

La Visión de Tariq

Infonomics tiene un nuevo amigo importante. Vamos a dar más información sobre él en las próximas semanas. Por ahora, basta decir que Tariq ha participado vigorosamente en las últimas clases de ISO 38500 en Kuala Lumpur, y se ha movido con mucha fuerza para adoptar la norma ISO 38500 y la visión que presenta de uso eficaz, eficiente y aceptable de la tecnología de la información.

Hace un par de semanas, Tariq leyó; Gartner’s Top Predictions for IT Organizations and Users, 2011 and Beyond: IT’s Growing Transparency. Comentarios sobre algunos de sus mensajes.

Gartner dice:

Para el año 2015, la infraestructura crítica de un país del G-20 será perturbada y dañada por sabotaje en línea. Dependiendo del destino, se pueden esperar respuestas diferentes.

Los gobiernos deben aprobar leyes y poner en marcha iniciativas relacionadas con la seguridad, como hizo los EE.UU. después del 11 de septiembre. Esto impulsará el sector de la industria de la seguridad que puede ofrecer protección contra estos ataques, similar a cómo se renovaron las medidas de seguridad en los aeropuertos, dió lugar a la aparición y crecimiento de un sector de la industria en torno a la seguridad del transporte y el aeropuerto.

Tariq responde:

En los Emiratos Árabes Unidos, por ejemplo, existe ADSIC (Abu Dhabi Sistemas y Centro de Información). Ellos se han convertido en el calor de las organizaciones locales de la base Abu Dhabi. Hemos visto un tremendo incremento en las organizaciones en la consecución de los certificados ISO 27000 en este año de lo que hemos visto en los últimos 5 años.

Gartner dice:

Para el año 2015, los nuevos ingresos generados cada año por TI determinarán la compensación anual de la mayoría de los nuevos 2000 directores globales deTI.

Las expectativas de los ejecutivos y la junta para la realización de los ingresos procedentes de esas y otras iniciativas de TI se convertirá en tan común que, en 2015, la cantidad de nuevos ingresos generados a partir de iniciativas de TI se convertirá en el principal factor que determina la porción de la compensación de incentivo anual de los nuevos 2000 CIO Globales.

Tariq responde:

Por lo tanto, ¡Gobierno Corporativo de TI! Esto explica el interés creciente en todo el mundo en la Guía de ISO 38500. Los altos ejecutivos en las organizaciones están sintiendo el calor. Ellos tienen obligaciones con sus accionistas. Ellos están comenzando a darse cuenta de que ya no pueden dejar las decisiones en torno de TI solo a TI. También se dan cuenta de que ya no pueden decir, ni será aceptable decir, que no estaban involucrados en las decisiones.

Gartner dice:

Para 2015, las empresas inteligentes aumentarán el gasto reconocido de TI per cápita en un 60%.

Debido a la recesión, la contribución de la inversión en TI para el éxito empresarial debe ser ahora demostrada. Como el gasto orgánico en TI por empleado aumenta en estas condiciones del mercado, los líderes empresariales y los interesados ​​deben cambiar su forma de pensar que “menos es mejor” por este indicador. Los objetivos no reconocidos de la empresa van a crear o promover la “destrucción de valor”, donde la viabilidad de la empresa estarán en peligro.

Tariq responde:

Este ha sido un problema. ISO38500 se refiere a esto en los Principios.

Programa de Educación Infonomics

El mes pasado se introdujo un paquete completo e integrado de la educación para atender la creciente demanda del mercado mundial de conocimiento sobre la gobernanza de la TI y la ISO 38500. Ahora que hemos finalizado el programa de educación para las próximas semanas. ¡Estamos OCUPADOS!

Clase de dos días ISO 38500

Melbourne (Australia), 6-7 de Abril

Abu Dhabi (Emiratos Árabes Unidos),  13-14 de Abril

Muscat (Omán), 19-20 de Abril

Brisbane (Australia),  3-4 de Mayo

Sydney (Australia),  9-10 de Mayo

Kuala Lumpur (Malasia), 7-6 de Junio

Clase de Inmersión ISO 38500 de un día

San Salvador (El Salvador), 24 de mayo

Buenos Aires (Argentina),  27 de mayo

Introducción ISO 38500

Dubai (Emiratos Árabes Unidos), 11 de abril *

Abu Dhabi (Emiratos Árabes Unidos), 12 de abril *

Muscat (Omán), 17 de Abril *

Bahrein, 18 de Abril *

San Salvador (El Salvador), 23 de Mayo

Buenos Aires (Argentina), 26 de Mayo

* Estos eventos están totalmente reservados.

Elefantes Exteriores

Tal como se anunció el mes pasado, Waltzing with The Elephant ya está disponible en formato PDF a través de IT Governance Limited.

Todavía estamos aceptando solicitudes para la copia impresa de la primera ejecución de la edición española de Waltzing with The Elephant.

Tocando el tambor

Como seguimiento a la carta del mes pasado acerca de obtener valor de la Red Nacional de Banda Ancha de Australia, tuvimos la oportunidad de subrayar el mensaje en el Informe Rust.

Anuncios

¿Qué opinan?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s