Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

Recientemente revisando varios informes internacionales sobre el avance en la gestión de la seguridad de la información, se manifiesta la necesidad constante de la gerencia de la seguridad por medir la efectividad de su gestión.

De acuerdo con la sabudiría tradicional, medir la seguridad de la información busca establecer el nivel de control y protección que una organización tiene de sus activos de información frente a la evolución misma de las fallas o vulnerabilidades de seguridad presentes en su entorno de negocio. Esta realidad confronta al gerente o líder de seguridad, pues se somete al exigente dilema de responder si su seguridad hoy, es mejor que hace un año.

En este contexto, las métricas que se utilicen deben evidenciar que tan bien se ha modelado la seguridad y cómo ésta ha permitido que los negocios y procesos organizacionales funcionen de la mejor forma, y lo que es más demandante aún, cómo las medidas de seguridad han generado valor al negocio.

En razón a lo anterior y considerando que la seguridad de la información es intangible, resulta complicado tratar de "agarrar" el objeto a modelar para definir las métricas del mismo. Muchos intentos sobre esta dinámica se han planteado a nivel internacional, como son entre otros, el uso del Balanced Score Card, ajustar la gestión a lo establecido en el ISO27001, revisar y ajustar las métricas de COBIT, considerar los elementos del ISM3, analizar las propuestas de ITIL, los cuales son interesantes esfuerzos que nos permiten avanzar en el conocimiento de la complejidad (léase multiplicidad de variables a analizar, no dificultad) que exige el establecer métricas de seguridad de la información.

Si revisamos por el contrario el dual de la seguridad de la información, como lo es la inseguridad, denotamos una forma alterna de revisar el tema de métricas de seguridad. Al ser la inseguridad de la información un hecho evidente, tangible y real, fundar las métricas de seguridad, sobre ésta (la inseguridad), resulta un ejercicio para meditar en la seguridad, como una función que más alcanzo, en la medida que conozco que tan inseguro soy. De igual forma, conociendo cómo evoluciona la inseguridad en el contexto de mi organización, cómo puedo llegar a saber que tan seguro puedo llegar a ser.

Esta extraña reflexión planteada anteriormente, nos ofrece un paradigma alterno para revisar las métricas de seguridad. Medir es un proceso eminentemente cultural y no numérico. Es una forma de materializar el deseo o interés de un grupo sobre una determinada temática. Por ejemplo, la seguridad para alta gerencia es un tema de confianza y protección de activos, por tanto sus métricas deberán estar enfocadas a resolver estas dos condiciones, lo que implica analizar en el contexto del negocio, esas actividades y acciones que ellos consideran valiosas para darle cumplimiento a esta necesidad. Vale la pena aclarar que el líder de la práctica de seguridad deberá orientar y complementar dicha visión dado su conocimiento de campo del tema en la organización.

De otra parte en el mundo táctico o de infraestructura de tecnologías de seguridad de la información, el interés es la efectividad de los mecanismos de seguridad instalados, cómo se comportan y ofrecen mayores niveles de confianza a la organización. Los profesionales de este nivel, se preocupan frecuentemente por el nivel de aseguramiento de las máquinas, la correcta configuración y funcionamiento de los mecanismos de seguridad, el cumplimiento de los estándares y buenas prácticas internacionales en el tema, entre otras variables. En este mundo, la seguridad es un fenómeno táctico y operacional que buscan consolidar la posición de la organización en el conocimiento de la inseguridad y su adecuado entendimiento y control. Es de anotar que estos profesionales saben que serán sorprendidos por la inseguridad una y otra vez, pero estarán atentos a consolidar su equipo de atención de incidentes para ser oportunos en la atención, análisis, control y reporte de los mismos.

Finalmente tenemos a los usuarios o personas de la organización que son los que utlizan los servicios informáticos. En este contexto, los empleados están constantemente expuestos a las fallas de seguridad, a la vulnerabilidad y amenazas informáticas frente a la información y sus procesos de negocio. Por tanto, sus intereses están cifrados en la oportuna atención de los incidentes, en el servicio de soporte que el área de tecnologías de información les presta y claro está, en el cumplimiento de las prácticas establecidas por la orgnanización para la protección de la información.

Es de particular interés del área de seguridad de la información que a nivel de usuarios se detallen los tipos de incidentes de seguridad de la información relacionados con la confidencialidad, integridad y disponibilidad, con el fin de continuar aprendiendo de la inseguridad y afinando los mecanismos de seguridad asociados con aquellos, lo que en últimas permite conocer la confiabilidad de éstos, bien sea por configuración o por el uso de los empleados.

Como podemos ver, el problema de medir no se supedita a establecer una métrica general para conocer el estado de un objeto, sino considerar la dinámica organizacional propia de las culturas e intereses internos de la empresa. En este sentido, el paradigma de la inseguridad nos ayuda a revisar el avance de la cultura de seguridad de la organización, como una excusa conceptal para continuar aprendiendo de los perfiles de riesgo de los participantes en las funciones de negocio y cómo estos afectan las actividades y decisiones que se toman en la dinámica de la empresa.

Cuando piense en medir la seguridad de la información revise los intereses y expectativas de la gerencia, analice los niveles de efectividad de los mecanismos de seguridad de la información y detalle los incidentes de seguridad informática, para conocer de primera mano cómo podemos darle respuesta a la pregunta: ¿Cuál es el estado de la seguridad de la información en mi organización?

Mayor información:

Global state of information security 2007 – http://www.pwc.com/extweb/pwcpublications.nsf/docid/114E0DE67DE6965385257341005AED7B/$FILE/PwC_GISS2007.pdf

Computer crime and security survey 2007 – http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf

How much does a data breach cost UK companies? – http://www.theregister.co.uk/2008/02/25/data_breach_real_cost/

Seven myths about information security metrics – http://www.noticebored.com/html/metrics.html

A Few Good Information Security Metrics – http://www.csoonline.com/article/print/220462

(Visited 61 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Un apasionado de la inseguridad informática, que trata de indagar en sus posibilidades y relaciones, aunque ella siempre tenga la manera maestra para soprendernos y cuestionarnos, y ésta, es la mejor motivación para continuar estudiándola.

    Sigue a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Acabo de recetarle esta dosis de Metformina para adelgazar, a una(...)

2

Este horóscopo se basa en las 30 cartas del oráculo “Ángeles(...)

3

El primer día de tomar 15 mg de Acxion para adelgazar(...)

1 Comentarios
Ingresa aquí para que puedas comentar este post
  1. Como siempre el artículo, muestra la realidad, llevado al tema de reflexión sobre como nos encontramos frente a la seguridad de la información en cada uno de nuestros escenarios.

    felicitaciones inseguridad
    ——–

Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar