Embed Size (px)
Citation preview
UN CONCEPTO EXTENDIDO DE LA MENTE SEGURA:
PENSAMIENTO SISTÉMICO EN SEGURIDAD
INFORMÁTICA
Jeimy J. CANO
__________________________________________________________________
Descriptores: Pensamiento sistémico, políticas de seguridad informática, mente segura, estrategias de
seguridad informática, administración de seguridad informática.
Resumen
El concepto y la práctica de la seguridad informática a lo largo del tiempo ha sido una
disciplina dominada por la élite de los profesionales especializados en el tema, dejando
generalmente por fuera del escenario corporativo al individuo e incluso a la
organización. En este sentido y conociendo la dinámica actual de los negocios, la
necesidad de una visión integradora, de lenguajes comunes que inspiren y orienten las
acciones de los participantes del mercado, se plantea una revisión conceptual y práctica
de la seguridad informática tomando como insumo básico la propuesta de Day [2003]
denominada: la mente segura. Esta revisión confronta la tradición histórica de la
seguridad informática para darle paso a una reflexión que involucra la dinámica de los
negocios y el valor agregado de la misma. Finalmente este documento, establece un
contexto para las prácticas actuales de la seguridad informática y la aplicación misma de
la mente segura, con el fin de proponer una visión sistémica de la mente segura, que
vincula de manera formal elementos como la tecnología, el individuo y la organización,
enfatizando en el estudio de éstos y sus relaciones, para repensar la seguridad
informática más allá de la experiencia tecnológica tradicional.
INTRODUCCIÓN
La seguridad informática como concepto ha venido evolucionando a lo largo del
tiempo. La necesidad de protección, de control de acceso, de confidencialidad y
disponibilidad de la información han marcado una manera de comprender las
posibilidades de la seguridad informática en las empresas [HANCOCK, W. y
RITTINGHOUSE, J. 2003, PARKER, D. 1998, KRAUSE, M., y TIPTON, H. 1999].
En este sentido, las organizaciones desde sus inicios han buscado la manera de
Ingeniero de Sistemas y Computación, Universidad de los Andes, Colombia. Magister en Ingeniería
de Sistemas y Computación, Universidad de los Andes, Colombia. Doctor of Philosophy (Ph.D)
in Business Administration, Newport University, USA. Certified Fraud Examiner – CFE.
Profesor de la Facultad de Derecho, Universidad de los Andes, Colombia. Profesor Engineering
School. Newport University. IEEE Senior Member. Contacto: [email protected]
2
aumentar la certeza y el adecuado seguimiento de las actividades de los usuarios y
procesos en los diferentes sistemas informáticos o electrónicos, con el fin de mantener
un adecuado control (comprendido como capacidad de regulación) de la evolución del
sistema y un registro óptimo de los empleados en el uso de los sistemas de
información disponibles para soportar la operación de las organizaciones
[SCHETINA, E., GREEN, K., y CARLSON, J. 2002, PROCTOR, P. y BYRNES, F.
C. 2002].
Esta evolución ha estado confinada entre una rápida transformación tecnológica y una
mediana apropiación de la tecnología en las organizaciones. Si bien las motivaciones
organizacionales, fundadas en mayor capacidad de interacción y eficiencia de las
unidades de negocio, son un factor decisivo para promover desarrollos de sistemas de
información de amplia cobertura y orientado a los clientes; la capacidad de absorción
(capacidad de comprender y usar la TI) de esta nueva tecnología y sus posibilidades,
por parte de los individuos de la organización, podría no ser tan rápida como la que
espera la alta gerencia de la organización, generando posibles diferencias en los
proceso de negocio que puedan comprometer la información que en ellos se maneja.
En este sentido, la seguridad informática, por una tradición académica y científica,
fundada en un contexto histórico donde la inversión en protección y control de
información son los factores comunes, se ha confinado al contexto de dispositivos,
iniciativas y estrategias técnicas y experimentales para elevar cada vez más los niveles
de control sobre los datos disponibles, sabiendo que ellos, son parte esencial de la
razón de ser de los proceso de negocio. Esta realidad, se ha afirmado a lo largo del
tiempo en las organizaciones, generando un paradigma eminentemente técnico
alrededor del tema de seguridad informática, generalmente de dominio de los
profesionales de la ingeniería, donde el espacio para individuos de otras disciplinas
generalmente no es muy amplio.
En razón a lo anterior y explorando en profundidad el espíritu del concepto de
seguridad informática, este documento busca repensar dicho concepto integrando la
realidad organizacional y sus procesos, la tecnología informática que lo soporta y el
contexto individual que hace realidad la dinámica de la seguridad informática en cada
uno de los escenarios del mundo corporativo, como una iniciativa para establecer una
integración sistémica del concepto para hacer de la seguridad informática un tema
multidisciplinario inmerso en la evolución misma de los procesos de negocio de las
organizaciones.
A continuación se revisa una breve evolución histórica de la seguridad que nos
permita luego contextualizar las prácticas organizacionales actuales en el tema, como
fundamento base para desarrollar el concepto de la mente segura y su revisión
extendida en la revisión sistémica. Finalmente se establecen algunas ideas sobre la
práctica de la mente segura extendida, las limitaciones de la misma y reflexiones
finales sobre el concepto presentado.
3
EVOLUCIÓN DEL CONCEPTO DE SEGURIDAD INFORMÁTICA
Revisando algunos momentos históricos de las iniciativas en seguridad informática en
el mundo, nos encontramos con los primeros elementos de esta temática hacia los
años 60’s, donde el surgimiento de internet, las motivaciones de la guerra con la crisis
de los misiles y el alto potencial de investigación que generan las universidades en ese
momento, establecen el sustrato necesario para que se desarrollen las necesidades de
protección y control, registro y seguimiento, aniquilación y supervivencia que
orientan en ese momento la política internacional, donde aquel que muestre mayor
capacidad de resistencia y ataque se erige como virtual beneficiado de la tensa
situación mundial.
Basado en lo anterior, las fuerzas militares reciben importantes recursos económicos
para fortalecer su posición de defensa y ataque, donde las operaciones en los medios
tecnológicos se muestran como una ventaja y estrategia para ganar posiciones en el
escenario de la tensión internacional. Es así como se inician las primeras discusiones
sobre el contexto de la seguridad nacional, donde la formulación de estrategias de
seguridad y dispositivos tecnológicos son elementos que fundamentarán la manera
como una nación impondrá su posición frente a la crisis de una posible guerra.
Esta situación, desarrolla la industria de los sistemas operacionales, de la criptografía,
de las aplicaciones automatizadas y del hardware, con lo cual se propone un nuevo
desafío para la distinción de seguridad nacional. Ahora la seguridad de las naciones se
basa en la información automatizada en los diferentes sistemas desarrollados e
instalados, los cuales mantienen los datos y los listados impresos fundamentales para
la toma de decisiones en el contexto de la situación internacional.
De ahora en adelante el concepto de seguridad informática tendrá una figuración
interesante, pues se hace necesario proteger la información que se tiene, mantener un
control en el acceso a la misma, por lo que se tendrá una clasificación de la
información, así como establecer estrategias para darle continuidad a la disponibilidad
en caso de situaciones de falla. Con esto en mente, durante los años 70’s y 80’s se
promueven múltiples iniciativas para fortalecer el tema de seguridad informática
particularmente orientado por el área técnica. Asociaciones como ACM – Association
Computery Machine y IEEE – Institute of Electric and Electronic Engineers
establecen líneas de acción sobre el tema, fundando grupos de investigación,
conferencias internacionales y publicaciones que poco a poco formaron los primeros
profesionales en seguridad informática. Así mismo, de manera paralela los
interesados en la auditoría y control de los sistemas iniciaron sus foros y discusiones
alrededor de una asociación que inicialmente se llamó EDPAC – Electronic Data
Processing Association y que hoy se denomina ISACA – Information System Audit
and Control Association. Los nuevos profesionales, denominados Auditores de
Sistemas o de procesamiento de datos, se convirtieron en los aliados de los
profesionales de las ciencias de la computación para comprender los pormenores de
un adecuado seguimiento y registro para mantener los ya conocidos y aceptados
4
principios de la seguridad de la información: Confidencialidad, Integridad y
Disponibilidad.
El tema de seguridad informática durante los años 70’s continuaba en manos del área
técnica. Los usuarios de las organizaciones sólo eran sujetos de uso de la tecnología
los cuales generalmente transgredían las estrategias de control implantadas bien sea
por inadecuado uso de las funcionalidades, generalmente por fallas en las
aplicaciones, o por acciones malintencionadas de los mismos. La cultura del usuario,
su visión de la seguridad y su contexto en la organización en este momento no se
contemplaba en el diseño de las soluciones de control planteadas para el acceso a la
información, mientras que el detalle y prueba de las implementaciones técnicas eran
la motivación más fuerte.
Las investigaciones documentadas durante esta época muestran una concentración en
el diseño e implementación de soluciones técnicas para productos. Por tanto, se hace
necesario establecer modelos verificables y altamente confiables por lo cual las
especificaciones matemáticas formales se hacen presentes. Dentro de las propuestas
más notables tenemos: Modelo Bell-Lapadula [D. E. BELL y L.J. PADULA 1976],
Clark-Wilson [CLARK, D. y WILSON, D. 1987], Ullman-Ruzzo [HARRISON, M.,
RUZZO, W., y ULLMAN, J., 1976], Biba Model [BIBA, K. J. 1977], Sea View
Model [DENNING, D. E., LUNT, T. F., SCHELL, R. R., SHOCKLEY, W.R. y
HECKMAN, M. 1988], Chinese Model [D. BREWER, y M. NASH 1989].
Con los años 80’s las seguridad informática se ha consolidado como una disciplina
formal y científica [BARBARINO, P. 1980, KREISSIG, G. 1980, CLARK, D. y
WILSON, D. 1987, KARGER, P. 1988, DOBSON, J. E. y McDERMID, J. A 1989,
TERRY, P. y WISEMAN, S. 1989], principalmente asociada con el desarrollo de
productos y modelos de seguridad que permitan un acceso controlado a la
información. Basados en los desarrollos formales de los 70’s, el tema de políticas de
seguridad se torna más formal, no sólo para los productos y las evaluaciones de los
mismos, sino para las condiciones organizacionales y sus procesos. Esta nueva
perspectiva sugiere que las organizaciones deben considerar la existencia de sujetos,
objetos y relaciones entre éstos últimos. Si se quería avanzar en uso adecuado de los
conceptos de seguridad y control, los procesos de la organización deberían
contemplar lineamientos en esta dirección para que las aplicaciones entraran a
fortalecer estas prácticas, coherentes con los diseños e implementaciones efectuadas.
Con la popularización de Internet, el fuerte desarrollo de la computación y la mayor
interconexión de las organizaciones, la seguridad informática enfrenta durante la
década de los 90’s un nuevo desafío: seguridad distribuida. Mientras en las décadas
anteriores el detalle de la seguridad giraba entorno al aseguramiento de características
de software generalmente para uso local o personal, los profesionales de la seguridad
informática debían ahora pensar tanto en la seguridad local como en la seguridad en la
interacción con un tercero. En este sentido las primeras iniciativas se fundaron
alrededor de los estándares del DoD en el año 1985, denominados Rainbow Series:
libro naranja, libro rojo, libro púrpura, entre otros.
5
Si bien estos primeros estándares permitieron allanar el camino para las
investigaciones posteriores, seguían concentrados en aspectos técnicos de los
productos o implementaciones computacionales.
Particularmente durante los 90’s la tecnología relacionada con la seguridad
informática tuvo un amplio y sostenido desarrollo. Técnicas como las de control de
paquetes de comunicaciones, cortafuegos, detección de intrusos, redes virtuales
privadas, criptografía asimétrica, biométricos, filtros de correo electrónico, entre
otras, recibieron gran acogida por la industria, generando variedad de productos y
conceptos que son utilizados por las diferentes organizaciones tanto privadas,
públicas y militares.
Esta evolución intuitiva de la seguridad informática, no sería posible sin la
equivalente evolución de la calidad y sofisticación de los ataques desarrollados por
los intrusos. No se puede negar la importancia de las creativas maneras de confrontar
y vulnerar las soluciones de seguridad planteadas durante estos años, pues sin ellas las
mejoras planteadas a la fecha no tendrían la formalidad y dimensión que se plantea en
los productos actuales de seguridad.
En este punto de la revisión de la historia de la seguridad informática pareciera que la
cultura y visión de los usuarios con relación a la seguridad han pasado desapercibidos,
sin un papel protagónico en el concepto de seguridad. Después de los 80’s y entrados
los 90’s las organizaciones están basadas en redes de comunicaciones que requieren
una especial coordinación por parte de los individuos en las
organizaciones[BARNETT, S. 1996]. Esta dinámica de negocios multilateral,
interconectada y basada en relaciones dinámicas e internacionales, inicia el camino de
la reconciliación del tema de seguridad con el tema de negocios.
Se habla de reconciliación y no de incorporación del concepto de seguridad
informática, pues el concepto siempre ha estado en las organizaciones desde ha
mucho tiempo, sólo que disociado y especializado en los profesionales de tecnología,
y en algunas comunidades de negocio o militares en el tema de procesos
organizacionales. Esta reconciliación se promueve de manera natural dado que, al
igual que los negocios, la seguridad informática es un conjunto de relaciones que
cubren la tecnología, la organización y los individuos. Luego, mientras no se
comprendan estas relaciones en el contexto de las relaciones de negocio, la seguridad
informática no será parte del valor agregado de las relaciones con los clientes y tendrá
limitaciones para lograr una cultura de seguridad y control inherente a los procesos
corporativos basados en las acciones individuales.
Cada vez que miramos a la seguridad informática en el nuevo milenio, se confunden
los límites de la tecnología, la organización y los individuos, lo cual sugiere que la
reconciliación avanza en medio de un camino incierto para las organizaciones que
buscan responder algunos interrogantes: ¿Cómo desarrollamos una cultura de
seguridad informática? ¿Cómo hacer para que las personas sean concientes de su
responsabilidad con la seguridad? ¿Cómo hacemos para que los empleados nos
6
ayuden a detectar situaciones de posibles fallas de seguridad? ¿Cómo hacer para que
los de IT sean concientes de las características de seguridad y nos ayuden en su
implementación? ¿Cómo hacer para que la seguridad informática sea un tema
importante de la alta gerencia?
En este contexto, las prácticas organizacionales relacionadas con la seguridad
informática muestran las diferentes corrientes que llevan a las empresas de modelos
formales de seguridad y control, con sanciones y estrictas directrices, a disposiciones
medianamente formales y con controles mínimos para mantener el adecuado acceso y
control de la información. Esta realidad, generalmente responde a una perspectiva
reactiva de situaciones que previamente se han presentado, que hace que una nueva
forma de operar se plantee por la organización y que generalmente no responde a un
modelo o reflexión concreta que oriente las directrices de seguridad informática y su
relación con el proceso de negocio donde se encuentra el empleado.
En el siguiente apartado, se detallaran algunas de las prácticas organizacionales
relativas a la seguridad informática, donde se analizarán en el contexto de los
principios de seguridad generalmente aceptados: Confidencialidad, Integridad y
Disponibilidad, su utilidad y coherencia con las realidades de la dinámica de las
organizaciones. Es importante resaltar, que los análisis propuestos en la siguiente
sección, responden a la experiencia y análisis de organizaciones donde existe la
distinción de seguridad informática en algún punto de la función de tecnología de
información.
REVISANDO LAS PRÁCTICAS ORGANIZACIONALES EN SEGURIDAD
INFORMÁTICA
El tema de seguridad informática en sí mismo, plantea la necesidad de comprender las
situaciones a las que nos exponemos cuando no tenemos seguridad. Una clara
contradicción que efectivamente sugiere que estamos constantemente evaluando las
expectativas y condiciones esperadas e inesperadas que el contexto de los diferentes
elementos y relaciones alcance de la seguridad informática: tecnología (T),
organización (O) e individuo (I), para el buen desarrollo de las operaciones y
relaciones de la dinámica de los negocios.
La revisión de las prácticas organizacionales de la seguridad informática, basadas en
esta trilogía de elementos –TOI-, establece una manera de revisar la concentración de
esfuerzos de la organización para materializar y avanzar hacia una cultura de
seguridad informática, más allá de las fronteras de las especificaciones técnicas y
dominio de la disciplina de la ingeniería. Si bien esta propuesta no pretende ser la
solución al análisis de las prácticas organizacionales en seguridad informática, es una
manera de comprender los alcances de dichas prácticas en la realidad de las
organizaciones.
7
En este sentido entenderemos las prácticas como ejercicios permanentes que las
corporaciones desarrollan como soporte a las directrices de seguridad informática
(formales e informales) establecidas por las directivas para fortalecer las estrategias
de seguridad y control inherentes a los procesos de negocio.
A continuación presentamos un cuadro resumen de algunas de las prácticas
organizacionales generales relacionadas con la seguridad informática. Una marcación
con equis (X) en Tecnología significa que la práctica esta asociada con mecanismos,
dispositivos o software que utilizan (están capacitadas para usarla) para materializar
la práctica. Así una equis en la columna Organizacional, se traduce en la
formalización en la organización a nivel global de la práctica en el contexto de una
política corporativa y una marcación en la columna individuo, muestra que se
considera al individuo en el contexto de la seguridad, esto es, se le capacita, entrena e
induce en un entendimiento relacional de sus participación dentro de la seguridad de
la organización.
Algunas prácticas Organizacional Tecnología Individuo
Validación de fortaleza/debilidad de contraseñas X X
Pruebas de penetración (Internas/Externas) X
Control de acceso vía contraseñas
(estáticas/dinámicas)
X
Control de acceso de paquetes (Packet Filter/Firewall) X
Revisión de tráfico de red (Detección de intrusos) X
Ciframiento de comunicaciones y archivos X
Uso y actualización de sistemas antivirus X X
Definición y uso de registros de auditoría en sistemas
electrónicos e informáticos
X
Clasificación de la información corporativa X
Análisis de riesgos y controles sobre la información X
Revisando esta clasificación de las prácticas en los tres elementos: organización,
tecnología e individuo, podemos verificar la concentración formal del tema de
seguridad informática hacia el tema de tecnología. Es decir, en las organizaciones
actualmente las prácticas de seguridad informática responden al uso de tecnología de
seguridad, las cuales soportan una directriz de la alta gerencia, cuando esta existe con
relación a la manera como se desea desarrollar los negocios.
De acuerdo con experiencias internacionales y encuestas alrededor del tema de
seguridad, generalmente este tema se asocia con el área de tecnología informática
concentrando la inversión y disposición de la gerencia exclusivamente sobre los
8
mecanismos de protección que se puedan diseñar para evitar el acceso o uso indebido
de la información corporativa. De igual forma, el diseño e implementación de
políticas de seguridad, se torna un tema de tecnologías y no de decisión
administrativa, que le permita contextualizar al área a cargo de la seguridad (si existe)
los mecanismos diseñados para cumplir los lineamientos en este sentido.
El aspecto organizacional, precisamente nos propone validar la existencia de una
directriz de la organización sobre temas específicos que se manifiesten en prácticas de
seguridad informática. Al revisar el cuadro anterior, podemos ver que generalmente
son pocos los temas que las directivas asumen como de su nivel, lo que lleva a que las
prácticas en sí mismas pierdan su sentido en el contexto organizacional y se
desarrollen porque “hay que hacerlo” y no se percibe como parte de un todo
corporativo donde lo que está en juego es el nivel de seguridad informática de la
organización y por ende su buen nombre.
No es de extrañar el comportamiento de la columna individuo. La herencia técnica del
tema de seguridad informática permanece sin considerar al individuo tanto en el
contexto de la seguridad a nivel organizacional, como en el uso de la tecnología de
seguridad, así como su papel en la construcción del nivel de seguridad informática de
la organización.
Si revisamos estos resultados extraídos de la realidad de algunas organizaciones,
podemos ver que los modelos de seguridad establecidos responden a motivaciones
tecnológicas administradas por profesionales técnicos en seguridad y no un concepto
donde tanto los procesos como los individuos suman en el proceso de construir la
seguridad. Si bien la seguridad informática se materializa en dispositivos técnicos de
seguridad, la alineación de los procesos organizacionales y la disposición de los
usuarios para comprometerse con prácticas de seguridad, se vuelven elementos
estratégicos para comprender las relaciones de las tuplas que plantea una seguridad
entendida más allá de los límites de la TI.
Las prácticas actuales de seguridad informática tratan de integrar al individuo en el
uso de las tecnologías de seguridad, limitando su actuación al buen uso o no de dichas
tecnologías, restringiendo la reflexión del concepto de seguridad informática desde
una perspectiva más estratégica que permita incorporar la práctica y uso de la
tecnología en una realidad corporativa que suma en la manera como se ejecutan los
procesos y se ejecutan las funciones de negocio.
Por tanto, las prácticas organizacionales actuales sugieren una disociación de
esfuerzos corporativos que se concentran en elementos tecnológicos (en la mayoría de
sus casos) y otro tanto en aspectos organizacionales (de procesos), marginando la
presencia de los individuos como agentes operadores de las distinciones
organizacionales relacionadas con la seguridad. En consecuencia, se hace necesario
repensar la visualización del concepto de seguridad informática donde la comprensión
de las relaciones de TOI se transformen en realidad tangible para los usuarios,
concreta para la organización y real para la tecnología, con el fin de hacer de la
9
seguridad de la información una experiencia que inicia en el individuo, se manifiesta
en los procesos y se verifica en la tecnología. Es decir, un sistema que desarrolla un
esquema como un ser vivo, que piensa, para nuestro caso con una mente segura.
LA MENTE SEGURA: HACIA UN PENSAMIENTO SISTÉMICO EN
SEGURIDAD INFORMÁTICA
Hablar de una mente segura, implica la existencia misma de una mente insegura.
¿Dónde se encuentra la mente insegura? ¿Como establecer que contamos con una
mente insegura? Para ello, vamos a desarrollar un concepto extendido de mente
segura propuesto inicialmente por Day [2003] fundado en virtudes y reglas de
seguridad informática.
CONCEPTOS BÁSICOS DE LA MENTE SEGURA
Contar con una mente segura implica reconocer la esencia dinámica de la seguridad,
concentrándose más que en la dinámica de los elementos de seguridad en una
situación particular, en las virtudes y reglas de seguridad con el fin de tomar
decisiones claras, consistentes y efectivas [DAY 2003, pág.5].
Las virtudes mencionadas buscan llamar la atención de los encargados de la seguridad
en la necesidad de contextualizar el tema en prácticas de seguridad en cada uno de los
momentos de la organización. Para Day [2003, pág.25] las virtudes de la seguridad
son:
1. La seguridad debe ser una consideración diaria.
2. La seguridad debe ser un esfuerzo comunitario.
3. Las prácticas de seguridad debe mantener un foco generalizado.
4. Las prácticas de seguridad deben incluir algunas medidas de entrenamiento
para todo el personal de la organización.
La consideración diaria de la seguridad busca incluir la distinción de seguridad en
cada momento, en cada proceso y en cada persona, de tal forma que al pensar el
diseño de una solución, actualización y eliminación de la misma la seguridad sea una
variable requerida dentro del análisis. Cómo afecta la seguridad el cambio? Esta
actualización podría generar implicaciones en las condiciones actuales de la
seguridad? Podríamos llegar a afectar la seguridad de la información de nuestros
clientes? Nuestra información podría estar expuesta si se elimina esta funcionalidad?
Estas preguntas, hacen parte de la reflexión de los usuarios finales de las aplicaciones
cuando la seguridad hace parte de una conciencia de las personas sobre su
10
información y la de sus clientes. Mientras la seguridad se haga parte de las
consideraciones diarias del personal, el número de vulnerabilidades asociadas con las
relaciones de los sistemas o aplicaciones será menor. Es importante anotar que las
vulnerabilidades siempre estarán presenten en cualquier contexto informático, sólo
que se potencian si no se tiene una disciplina de seguridad apalancada en una
disciplina y conciencia corporativa reflejada en sus usuarios.
El esfuerzo comunitario de la seguridad nos presenta la necesidad de establecer un
equipo conjunto entre los profesionales de la seguridad informática y el personal de
toda la organización. Generalmente se considera que el problema de la seguridad es
de los profesionales de tecnología que se dedican a esta temática. Por tanto, es
menester de los profesionales de seguridad informática desarrollar estrategias para
vincular de manera natural a los usuarios finales en prácticas de seguridades locales e
inherentes a sus labores diarias, con el fin de contar con mayores y mejores aliados
para avanzar en una seguridad preventiva y preactiva. Dicha seguridad comunitaria,
debería llegar a establecer canales claros para mantener informados a los
colaboradores de la organización y éstos comprendieran las implicaciones de los
anuncios con relación a la seguridad, para así transformar la seguridad de “algo que se
tiene que hacer”, a “algo que se hace por convicción personal y corporativa”.
Es frecuente ver como las organizaciones permanecen concentradas en aspectos
altamente específicos de la tecnología y sus fallas, los que generalmente terminan con
la aplicación de parches para subsanar la falla puntualmente identificada. Según Day
[2003, pág.31] cuando las corporaciones se concentran en éstos detalles específicos,
pierden la visión general de la problemática, generando un importante espacio para la
materialización de otras posibles fallas de seguridad de mayor impacto. Es decir,
contextualizar la técnica generalmente aceptada llamada “apagar incendios”, lo cual
manifiesta una práctica inadecuada de evaluación y control de la seguridad
informática. En este sentido considerar la reglas de seguridad informática permiten
mantener una visión general y clara de las implicaciones, verificando en segunda
instancia los detalles requeridos para la corrección. Lo importante en esta virtud es
mantener la vista en lo general para establecer las implicaciones de las
implementaciones particulares.
El entrenamiento en seguridad informática es un factor crítico en la construcción de
una mente segura. Los cursos especializados y de formación en tecnologías de
seguridad son insumo importante de las áreas de seguridad para construir y mantener
un conjunto de habilidades técnicas necesarias para regular y adaptar la arquitectura
de seguridad planteada. No obstante lo anterior, el entrenamiento y capacitación de
los usuarios finales en el tema de seguridad es un elemento que define en sí mismo el
nivel de seguridad de la organización. Es decir, la seguridad de una organización no
se mide por su arquitectura tecnología dispuesta para la seguridad, sino en el nivel de
entrenamiento y participación de los usuarios finales con relación a la seguridad
informática. Esta distinción nos sugiere que esta virtud exige de los profesionales de
tecnología, el desarrollo de una relación cercana entre los usuarios finales y sus
11
necesidades, así como de una capacidad de reporte de posibles fallas de seguridad
informática tanto de los colaboradores como de los profesionales de la seguridad
informática.
De otra parte, tenemos las reglas de la seguridad informática complementarias a las
cuatro virtudes sugeridas inicialmente. De acuerdo con Day [2003, pág.40, CANO
2003] existen ocho reglas de seguridad informática:
1. Regla del menor privilegio
2. Regla de los cambios
3. Regla de la confianza
4. Regla del eslabón más débil
5. Regla de separación
6. Regla de los tres procesos
7. Regla de la acción preventiva
8. Regla de la respuesta apropiada e inmediata
Seguidamente comentaremos brevemente en qué consiste cada una de las reglas, con
el fin de ofrecer una panorámica general que plantee la complementariedad de estos
conceptos y las virtudes previamente comentadas.
El menor privilegio consiste en ofrecer el acceso requerido ara adelantar la labor
solicitada exclusivamente. Es decir, otorgar los permisos estrictamente necesarios
para efectuar las acciones que se requieran. Ni más ni menos de lo solicitado.
La regla de los cambios nos dice que los cambios que se presenten deben ser
coordinados, administrados y considerados en función de las implicaciones de
seguridad que estos revistan. Es decir, se hace necesarios que cualquier cambio
considere las implicaciones de seguridad que puede tener frente a su contexto.
La regla de la confianza establece que debemos comprender completamente los
efectos de extender nuestra confianza a un tercero y solamente confiar en lo que se
requiere y acuerda de la relación.
La regla del eslabón más débil nos recuerda que la seguridad de un sistema es tan
fuerte como el componente o relación más débil que se identifique. Esta regla nos
recuerda que nuestras decisiones deben evitar introducir eslabones débiles,
documentar aquellos existentes y continuamente buscarlos.
La regla de separación sugiere que para mantener seguro algún elemento, éste debe
ser separado de peligros y riesgos de su mundo alrededor. Es decir, sólo debe tener
12
acceso el proceso, usuarios o sistema específico, con el fin de mediar cualquier
intento de acceso y tener claridad de quién solicita el mismo.
La regla de los tres procesos nos recuerda que la seguridad informática no termina
con la implementación de los productos o tecnología. Es una realidad que requiere
permanentemente monitoreo y mantenimiento. Esta regla fortalece la tesis de que la
seguridad requiere pensamiento y estrategia, y no solamente tecnología informática.
La regla de la acción preventiva nos alerta y concientiza que la seguridad no puede
ser exitosa si no viene acompañada de una aproximación preventiva. Sin una
adecuada formulación de acciones preventivas la organización tendrá menos
posibilidades de mantener un esquema seguro.
La regla de respuesta adecuada e inmediata nos dice que los pasos que una
organización toma cuando ha ocurrido un incidente de seguridad son tan importantes
como las acciones que tomamos para prevenir el ataque. Este regla nos recuerda que
una pobre e inadecuada respuesta a una intrusión potencialmente puede causar más
daño que si un intruso lo hubiese hecho en primer lugar.
Con estas reglas en mente y operacionalizadas en el contexto del modelo de seguridad
informática corporativa, las decisiones que se tomen responderán a un mayor nivel de
conciencia e integración de la directriz general de seguridad informática, tendrán
sentido para los usuarios finales en sus acciones diarias y orientarán los desarrollos e
implementaciones tecnológicas previstas.
Las reglas más que un conjunto de verdades estratégicas de la seguridad informática,
son un conjunto de prácticas y conceptos generalmente utilizados por las
organizaciones, pero que frecuentemente son ignorados en el momento de la
implementación de los proyectos relacionados con la seguridad de la información. Por
tanto, la motivación de este documento es cuestionar a todos aquellos involucrados en
este tema a que valoren sus prácticas actuales y busquen estrategias para repensar la
seguridad informática como concepto corporativo, articulado con las tecnologías
mismas que lo soportan.
LA MENTE SEGURA EXTENDIDA: UNA REVISIÓN SISTÉMICA
Podríamos iniciar diciendo que una mente insegura es aquella que no identifica los
elementos y relaciones alcance de la seguridad informática: tecnología (T),
organización (O) e individuo (I). Es decir, que se concentra de manera aislada y
específica en atender los momentos y requerimientos de los elementos, sin percatarse
de las relaciones y propiedades que se exhiben en la interacción misma, perdiendo la
riqueza y experiencia misma de las relaciones entre los elementos.
13
Figura 1. Una visión sistémica de la seguridad informática
Cuando la seguridad informática se plantea como una disciplina de relaciones [CANO
2000] y propiedades más allá de los elementos básicos que la conforman (TOI)
estamos presenciando el nacimiento de una mente segura, que no sólo reconoce la
importancia de sus elementos, sino la dinámica de las relaciones entre las virtudes y
las reglas de la seguridad.
La figura 1 nos ilustra una manera de comprender de manera sistémica la seguridad
informática. La visión sistémica hace evidentes las relaciones entre TOI, las cuales se
revisarán a continuación.
La relación planteada entre O y T, denominada regulación y adaptación, nos sugiere
que la seguridad informática comprendida de manera sistémica es un continuo de
regulación y adaptación tanto de la organización y sus estrategias de negocio como de
la tecnología y su evolución. No es viable considerar que la organización establece
directrices y estrategias de negocio apoyadas con tecnología, en donde la seguridad no
cuente como factor de apoyo y valor agregado para ella. En este sentido la regulación
y adaptación son el ciclo de control de la seguridad informática que le permite
evolucionar conforme evoluciona la organización y la realidad inherente a la
inseguridad informática.
La relación I y T, denominada entrenamiento y capacitación, nos muestra la necesidad
constante de la organización de elevar los niveles de aprendizaje y uso de la
tecnología, como factor base para promover la regulación y adaptación previamente
revisadas. En este contexto, la necesidad de entrenar (desarrollo de habilidades
técnicas específicas) y capacitar (informar y conocer sobre temas específicos) es un
ciclo complementario que la organización debe desarrollar para fortalecer la
distinción de seguridad informática más allá de los elementos tecnológicos, buscando
la integración de las actividades de los usuarios finales en los temas de seguridad
informática de la organización, para formar una cultura de seguridad informática
14
sustentada en prácticas de inseguridad informática propias de la dinámica de la
seguridad.
La relación I y O, denominada concientización y procesos, establece los vínculos
formales de la estrategia e importancia de la seguridad informática para la
organización. Al integrar las políticas de seguridad informática [CANO 2001] como
políticas globales de la organización y la declaración formal de la gerencia sobre la
protección de uno de sus principales activos como lo es la información, la seguridad
informática avanza en la integración formal entre el plan estratégico corporativo y la
interiorización de la seguridad informática en la organización. Cuando una
organización declara a la información como uno de sus principales activos, esta
comunicando que los individuos son los custodios formales de dichos activos y sobre
ellos la organización deposita la confianza y responsabilidad para su adecuado uso.
Esta relación le da fuerza a las otras dos, como elemento catalizador de la creación de
una organización con una mente segura, es decir, una propiedad emergente fruto de la
interrelación de las distinciones concebidas dentro de la figura 1.
En las organizaciones que no reconocen estas mínimas relaciones entre los elementos
de T, O y I, probablemente estarán más expuestos a la inseguridad informática,
abriendo la posibilidad de fallas y vulnerabilidades en mayor proporción que otras
que frecuentemente trabajan en el fortalecimiento de las relaciones expuestas en la
figura 1.
Es importante aclarar que la visión presentada, responde a una disciplina formal de la
organización de apalancar su seguridad informática en un pensamiento sistémico
(basado en una perspectiva relacional) y sistemático (basado en una secuencia de
pasos ordenados a seguir) al mismo tiempo, que por un lado mantiene una visión
global de la seguridad y por otro, ejecuta de manera particular con un proceso
ordenado que le permite conocer de primera mano su realidad particular en cada uno
de sus elementos: TOI.
LA PRÁCTICA DE LA MENTE SEGURA
Considerando la visión sistémica extendida revisada en el aparte anterior,
detallaremos algunos elementos prácticos que traduzcan las relaciones expuestas con
el fin de avanzar en una implantación de prácticas organizacionales que construyan
poco a poco la mente segura como una propiedad emergente de la organización y no
como una realidad particular en algunos de sus elementos de tecnología, organización
o individuo.
Para hablar de prácticas de la mente segura, es importante detallar el signo del rostro
expuesto en la visión de la figura 2. El rostro pensativo traduce la emergencia de la
mente segura que se afianza en una cultura corporativa. Para ellos establece un reto
corporativo interno que se plantea en términos de las cuatro virtudes de la seguridad
(ver conceptos básicos de la mente segura) más una distinción adicional que
15
denominaremos creatividad y curiosidad disciplinada [Adaptado de: SZULANSKI, G.
y AMIN, K. 2001]
Figura 2. Visión práctica de la Mente Segura Extendida
¿Cómo practicar la consideración diaria? Algunas ideas:
Establezca cuál es su papel frente a la información de la organización:
Custodio, Usuario o Propietario.
o Custodio: Responsable por el cumplimiento de las directrices de uso y
acceso a la información. Así como conocer y participar en las
estrategias de contingencia y recuperación de la misma.
o Usuario: Responsable por hacer un uso adecuado y tener acceso
autorizado a la información.
o Propietario: Responsable por definir los niveles y estrategias de
protección de la información.
Revise los elementos de la seguridad de hogar: llaves, cerrojos, alarmas,
armas, etc. ¿Para qué las tiene? De la misma manera se cuentan con
mecanismos de seguridad informática en la organización, donde usted es
custodio de la información que crea, utiliza, procesa, genera y registra en
desarrollo de sus actividades de trabajo.
La seguridad informática hace parte de todo su entorno, cada vez que participe
en un proyecto considere la seguridad de su información, pues recuerde usted
es custodio de la misma. ¿Cómo se afectará la información? ¿Quién podrá
tener acceso? ¿Cómo se mantendrá la integridad de la información? Ante una
contingencia, ¿cómo actuaremos? ¿Cómo manejaremos los cambios?
16
En cualquier diseño de aplicaciones o procesos de la organización la seguridad
informática debe hacer parte del mismo. Al igual que se requiere aprobación
de los requerimientos y condiciones funcionales para el buen funcionamiento
de las aplicaciones y procesos, los requisitos de seguridad informática también
deben ser aprobados y documentados.
Creación de concursos y actividades lúdicas sobre los fundamentos de
seguridad que se cuentan en la organización: Crucigramas, cuestionarios,
personajes, simulación de fallas, entre otras.
Practicando la virtud de la Educación. Algunos elementos para analizar:
Orientación y guías de buenas prácticas de instalación de software, indicando
ejemplos de que está autorizado para instalarse, peligros de instalaciones de
software no autorizado. Estas prácticas deben ser aplicables tanto para la
organización como para los equipos de cómputo personales de cada
colaborador.
Presentación y actualización permanente de las estrategias utilizadas por los
intrusos para vulnerar las arquitecturas de cómputo y cómo ellos pueden
prevenir este tipo de ataques. La idea siempre es ofrecer elementos de
aplicación práctica y contar con sitios alternos para ampliar la información
que se ofrece.
Orientación y guías sobre navegación el web, indicando sitios y páginas que
podrían eventualmente afectar la seguridad de sus máquinas. Explicación
detallada de los elementos que podrían afectar su navegador: plug-in, cookies,
scripts, javascripts, etc.
Manejo y control de la información confidencial. La idea con esta práctica, es
desarrollar elementos prácticos de los procedimientos que se tienen para la
información clasificada, cómo participan ellos y las maneras a través de las
cuales ellos pueden proteger dicha información.
Creación y actualización de cursos internos sobre la seguridad de la
organización: ¿Cómo asegurar su computador personal? ¿Cómo instalar un
firewall y sobrevivir en el intento? ¿Cómo cifrar información? para dummies.
Revisando y aplicando la visión de alto nivel. Algunas ideas:
La visión sistémica no debe ser sólo de los altos ejecutivos o responsables directos de
la seguridad, es un reto para todos los colaboradores de la organización. En este
sentido las actividades prácticas deben responder a:
Diseño de escenarios de falla generales. Estos son juegos de simulación que
permiten involucrar a los colaboradores y sus actividades dentro de posibles
17
escenarios y ver cómo ellos actuarían frente a la misma. (Es posible
aprovechar estos momentos para fortalecer la cultura de prevención, los planes
de contingencia y recuperación ante desastres).
Talleres prácticos de aplicación de políticas de seguridad informática. La idea
es validar las políticas de seguridad en contextos de aplicación real:
Utilización de mecanismos de seguridad integrados para ver las relaciones
entre los mismos y hacer evidente como todos los elementos se enlazan, para
que los colaboradores se ubiquen dentro de los eslabones de la arquitectura de
seguridad.
Juegos de roles, donde los participantes se coloquen la camiseta del “Director
de Seguridad Informática” para conocer más de cerca las implicaciones de la
seguridad para la organización y cómo participan ellos en las mismas.
Desarrollando la creatividad y curiosidad disciplinada.
Esta virtud responde a la necesidad de contar con un espacio y recursos para
investigar y desarrollar nuevas estrategias de seguridad, identificar y validar posibles
ataques, probar nuevas tecnología y aprender de las estrategias de los intrusos. En
pocas palabras, la manera como la organización se adapta y regula las posibles
perturbaciones inherentes a la seguridad informática, para nutrir el cuerpo de
conocimiento organizacional en este tema y promover ideas alternativas para la
generación de valor en las relaciones de negocio. En pocas palabras la práctica de la
inseguridad informática en la organización.
Creación de un laboratorio de investigación y desarrollo interno, que le
permita experimentar y probar de primera mano ataques y estrategias de
vulnerar arquitecturas de cómputo.
Desarrollo de pruebas de penetración internas y externas periódicas que
validen efectividad las actividades y mecanismos de control establecidos en la
organización.
Creación y actualización de guías de aseguramiento de las máquinas
corporativas, así como entrenamiento especializado para los encargados de los
servicios informáticos sobre el uso de las mismas.
Identificación y participación de los principales foros y eventos nacionales e
internacionales sobre el tema de seguridad informática, con el fin de mantener
informada a la organización en tendencias y avances en el tema que puedan
ser de interés para la misma.
Promoción de los programas de certificación académica en temas de seguridad
informática, como una manera de mantener y actualizar las habilidades y
conocimiento del personal del área de seguridad informática.
18
La práctica del esfuerzo común. Revisemos ideas:
Mantenga informado a todo el personal en un lenguaje claro y preciso sobre
las fallas de seguridad informática identificadas, ofreciendo guías didácticas
para que cada persona adelante las actividades necesarias para su mitigación.
El centro de soporte o help desk, debe estar atento a las preguntas o
inquietudes que sobre el particular puedan tener los colaboradores.
Promueva la formación de redes de información certificada y autorizada por la
organización sobre vulnerabilidades de seguridad y sus estrategias de
prevención y control. Así mismo, cómo notificar y actuar en el caso de un
incidente de seguridad informática.
Desarrollar conciencia de seguridad informática. Esto se traduce en mantener
un procedimiento de información y notificación ante eventos inusuales dentro
de la organización que pudiesen afectar la seguridad informática. Por ejemplo
si se recibe un correo con archivos adjuntos de un origen desconocido,
reportarlo a la cuenta de correo [email protected]. Luego del análisis del
mismo recibirá una respuesta sobre el mismo.
Como se puede observar en las actividades propuestas para cada una de las virtudes
de la mente segura extendida, es preciso un gran compromiso organizacional y
directivo, así como disposición e interés de los individuos de la organización, que le
permita fortalecer adecuadamente los diferentes elementos de la visión sistémica de la
seguridad. Con esta presentación de acciones y sugerencias prácticas no se pretende
agotar el funcionamiento e implementación de una mente segura, sino presentar un
espectro de análisis conceptual y organizacional que le permita al lector visualizar el
reto que exige la seguridad informática más allá de la tecnología y sus implicaciones.
Si bien el concepto de mente segura extendida es una manera holística de comprender
la seguridad informática como un ciclo permanente de aprendizaje, adaptación y
acción, sustentado en la dinámica de las relaciones previamente comentadas, presenta
limitaciones propias que deben ser consideradas para avanzar en la revisión y
actualización del mismo. Dichas limitaciones, que se presentarán a continuación
responden a la realidad de la gestión de seguridad informática corporativa, la cual es
un requisito que exige del responsable directo de la seguridad informática, elementos
prácticos para verificar el avance y madurez de la función de seguridad informática
corporativa.
LIMITACIONES Y RETOS DE LA MENTE SEGURA
Los elementos hasta el momento revisados ofrecen lineamientos estratégicos y
prácticos de la seguridad en un contexto sistémico, que sugiere mayores retos y
19
compromisos de la organización para avanzar en la creación y evolución de una
mente segura. Sin embargo, la visión de una mente segura extendida no ofrece
elementos claros para responder a preguntas como: [GEER, D., SOO, K y JAQUITH,
A 2003]
¿Mi seguridad informática actual es mejor que el año anterior?
¿Cuál es el beneficio que estoy obteniendo de toda la inversión que se ha
efectuado en seguridad informática?
¿Cómo me puedo comparar con organizaciones semejantes a la nuestra en el
tema de seguridad informática?
Con el fin de responder a estas preguntas se requiere desarrollar métricas de gestión
de seguridad informática, que de manera complementaria alimenten los resultados
que ofrece la visión sistémica de la seguridad informática.
La gestión de la seguridad en la actualidad es un reto y desafío de las organizaciones
modernas dado que no se cuenta con un lenguaje común, diversas prácticas de
seguridad, diferentes significados alrededor de los conceptos, múltiples maneras de
recoger información sobre la efectividad de la seguridad, pocos modelos y estudios
[CAVUSOGLU, H., MISHRA, B. K. AND RAGHUNATHAN, S. 2002, CLAFLIN,
B. 2001, GEER, D. E 2001, GORDON, L. A., LOEB, M. P. y SOHAIL, T. 2001,
HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. 2001, KAROFSKY, E. 2001,
THIEME, R. 2001] en la comprensión del retorno de la inversión en seguridad
informática y una industria de seguridad informática que sugiere una competencia
marcada por la supremacía de las marcas.
Todos estos elementos sumados a la necesidad de la gerencia por conocer la respuesta
a las preguntas planteadas anteriormente, generan desconfianza y muchas dudas sobre
el uso efectivo de los recursos en el tema de seguridad informática.
En este sentido existen algunos trabajos de investigación y aplicación que entidades y
grupos de investigación internacionales han venido desarrollando buscando armonizar
las diferencias que el tema de gestión de seguridad informática sugiere.
Dentro de los algunos estudios relevantes tenemos:
NIST Special Publicaction 800-55 Security Metrics Guide for Information
Technology Systems. Marianne Swanson, Nadya Bartol, John Sabato, Joan
Hash, and Laurie Graffo. Julio de 2003.
o Esta publicación ofrece una guía de cómo una organización a través
del uso de métricas, identifica lo adecuado de sus controles, políticas y
procedimientos de seguridad informática. Así mismo ofrece una
modelo que le permite a la administración decidir donde invertir en
seguridad adicional, valorar la actual y evaluar los controles actuales
que no son efectivos. De igual forma la guía detalla el proceso de
20
desarrollo e implementación de métricas y como éste puede ser
utilizado para adecuar y controlar la inversión en seguridad
informática. Finalmente, el contar con un programa de métricas en
seguridad informática ofrece datos de interés para la priorización y
ubicación de recursos en seguridad informática, lo que de manera
colateral implica la simplificación de la preparación de los informes de
gestión de seguridad informática.
@Stake Hoover Project
o Esta es una iniciativa de una firma consultora en seguridad informática
de gran trayectoria internacional. El proyecto busca establecer el perfil
del estado del arte de la seguridad informática analizando 45
aplicaciones de e-business. Esta iniciativa se concentra directamente
en las aplicaciones más que en los mecanismos de seguridad de las
organizaciones por dos razones. Primera, los ataques a nivel de
aplicación pueden vulnerar fácilmente los firewalls. Segunda, es donde
se encuentra el dinero, es el medio a través del cual se transfiere los
fondos fruto de la relación de negocio. Este estudio ofrece elementos
estadísticos interesantes como series de tiempo y análisis cruzados
basados en metodologías de administración de riesgos que permite
revisar objetos como fallas, errores o defectos y categorías de riesgos.
How much is enough? A risk management approach to computer security.
Doctoral Thesis. Stanford University. Center for International Security and
Cooperation. Kevin Soo Hoo. 2000.
http://exted.fullerton.edu/dschatz/Soo_Hoo_Paper.pdf
o Este trabajo doctoral es un estudio detallado y profundo del uso de un
discurso de administración de riesgos que establece una estrategia
metodológica para establecer el retorno de la inversión en seguridad
informática.
Como se puede observar son realmente muy pocos estudios formales [UNIVERSITY
OF TEXAS. Economics of IT Security] y detallados con los que se cuenta en el tema
de gestión de seguridad informática. Si bien muchas consultoras internacionales
cuentan con metodologías para apalancar la gestión de seguridad, éstas son de uso
restringido para sus clientes, lo cual hace que el conocimiento acumulado de su
experiencia aplicada sea particular y exclusivo.
A pesar de estas aparentes restricciones lo importante es continuar la exploración y
buscar elementos que complementen los estudios propuestos, bajo la mira de
estrategias y técnicas de evaluación de tecnología informática, como insumo básico
para continuar comprendiendo el valor de la seguridad informática en una perspectiva
sistémica.
21
REFLEXIONES FINALES
La seguridad informática como hemos revisado ha tenido una marcada influencia del
aspecto tecnológico, lo que ha hecho del tema el dominio de los especialistas de la
tecnología. Sin embargo, con el pasar del tiempo se ha venido fortaleciendo la visión
integral de la misma vinculando los procesos de seguridad más allá de las
especificaciones técnicas, desmitificando los conceptos de seguridad informática en
realidades tangibles para los usuarios finales.
Las virtudes y reglas de seguridad informática expuestas (ver conceptos básicos de la
mente segura) nos sugieren el vínculo con la tecnología informática de seguridad,
abriendo un espacio para integrar a la organización y sus procesos de negocio, y más
allá de esto, al individuo como participante protagónico en el manejo mismo de la
seguridad informática.
Los individuos como custodios naturales de la información, habían sido rezagados de
esta tendencia integradora de la seguridad, por una tradición técnica en estos temas.
Con la visión extendida de la mente segura, los individuos no sólo hacen parte de la
seguridad informática, sino que son responsables de la dinámica de las relaciones
sistémicas de la seguridad informática. En este sentido, el éxito de la seguridad
informática tendrá mucha relación con la manera como se incorpore la distinción de
seguridad en cada una de las actividades de la organización.
Por otra parte, es factor clave en el entendimiento de la seguridad informática en las
organizaciones, el desarrollo de elementos de gestión de seguridad informática. Si
bien, las organizaciones pueden incorporar una cultura de seguridad informática, es
menester del responsable directo de la seguridad evaluar, valorar e informar como se
desarrolla este avance. En este medida ser requiere la identificación de métricas
organizacionales de seguridad que valore los costos directos (ambientales de
operación, hardware, software, instalación y configuración, sobrecostos,
entrenamiento, mantenimiento) e indirectos tanto humanos como organizacionales
[REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. Cap.5 2003], con el fin de
establecer con claridad el valor agregado de la seguridad informática en la dinámica
de los negocios de la compañía.
Basado en lo revisado en este documento, la seguridad informática se transforma de
una disciplina sistemática a una disciplina sistemática-sistémica que no sólo responde
por las medidas de protección y control de la información de una organización, sino
que es la responsable por la adaptación y regulación de las relaciones entre los
elementos que la conforman (tecnología, organización e individuo) para darle paso al
surgimiento de una mente organizacional, una mente segura que no se encuentra en
los profesionales de la seguridad informática sino en los custodios naturales de la
información en las organizaciones: los individuos.
22
REFERENCIAS
BARBARINO, P. (1980) Multi-Tiered Approach to System Security. IEEE
Symposium on Security and Privacy 1980 – 1999. pág 114-121
BARNETT, S. (1996) Computer Security Training and Education: A Needs Analysis.
IEEE Symposium on Security and Privacy 1980 – 1999. pág 26-27.
BIBA, K. J. (1977) Integrity Considerations for Secure Computer Systems, Hanscom
Field, Bedford, Mass.
CANO, J. (2000) Technological Frames recursive construction approach: A systemic
theory for information technology incorporation in organizations. Business
Information Technology World 2000 Conference. México.
CANO, J. (2001) Reflexiones acerca de Estándares de Seguridad Informática.
Computerworld. Colombia. Noviembre.
CANO, J. (2003) Breves reflexiones sobre la programación segura. Revista
SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. Septiembre.
http://www.acis.org.co/revista/
CAVUSOGLU, H., MISHRA, B. K. AND RAGHUNATHAN, S. (2002) A Model
for Evaluating IT Security Investments, Communications of the ACM.
http://www.utdallas.edu/~huseyin/investment.PDF
CLAFLIN, B. (2001) Information Risk Management at 3Com, Secure Business
Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_3com.pdf
CLARK, D. y WILSON, D. (1987) A comparison of commercial and military
computer security policies. IEEE Symposium on Security and Privacy 1980 – 1999.
pág 184-199
D. BREWER, y M. NASH. The Chinese Wall Security Policy. (1989) Proc. Of IEEE
Symposium on Security and Privacy, IEEE Computer Society Press, 1989, pp.206-
214.
D. E. BELL y L.J. PADULA (1976) Secure Computer Systems. Mathematical
Foundations, Hanscom Field, Bedford, Mass.
DAY, K. (2003) Inside the security mind. Making the tough decisions. Prentice Hall.
DENNING, D. E., LUNT, T. F., SCHELL, R. R., SHOCKLEY, W.R. y HECKMAN,
M. (1988) The Sea View security Model. IEEE Symposium on Security and Privacy,
218-233.
DOBSON, J. E. y McDERMID, J. A (1989) A Framework for Expressing Models of
Security Policy. IEEE Symposium on Security and Privacy 1980 – 1999. pág 229-239
GEER, D. E., Making Choices to Show ROI. (2001) Secure Business Quarterly, Vol.
1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_making_choices.pdf
23
GEER, D., SOO, K y JAQUITH, A (2003) Information Security: Why the Future
Belongs to the Quants. IEEE Security and Privacy Magazine. July/August.
GORDON, L. A., LOEB, M. P. y SOHAIL, T. (2001) A Framework for Using
Insurance for Cyber Risk Management,” Communications of the ACM. December
HANCOCK, W. y RITTINGHOUSE, J. (2003) Cybersecurity Operations Handbook.
Elsevier Digital Press.
HARRISON, M., RUZZO, W., y ULLMAN, J., (1976) Protection in Operating
Systems. Communications of the ACM, vol. 19, no. 8, pp. 461 – 471,
HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. (2001) Tangible ROI through
Secure Software Engineering. Secure Business Quarterly, Vol. 1, Iss. 2.
http://www.sbq.com/sbq/rosi/sbq_rosi_software_engineering.pdf
KARGER, P. (1988) Implementing Commercial Data Integrity with Secure
Capabilities. IEEE Symposium on Security and Privacy 1980 – 1999. pág 130-139
KAROFSKY, E. (2001) Insights into Return on Security Investment. Secure Business
Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_insight.pdf
KRAUSE, M., y TIPTON, H. (Editors) (1999) Handbook of Information Security
Management. Auerbach.
KREISSIG, G. (1980) A model to describe protection problems. IEEE Symposium on
Security and Privacy 1980 – 1999. pág 9-17
PARKER, D. (1998) Fighting Computer Crime. A new framework for protection
information. John Wiley & Sons.
PROCTOR, P. y BYRNES, F. C. (2002) The secured enterprise. Protecting your
information assets. Prentice Hall.
REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. y IRANI, Z. (2000) The
effective measurement and management of IT cost and benefits. Second Edition.
Butterworth Heinemann.
SCHETINA, E., GREEN, K., y CARLSON, J. (2002) Internet Site Security. Addison
Wesley.
SZULANSKI, G. y AMIN, K. (2001) Imaginación disciplinada: creación de la
estrategia en los entornos inciertos. En DAY, G y SCHOEMAKER, P (2001)
Gerencia de tecnologías emergentes. Wharton School of Business. Ediciones B.
Argentina S.A.
TERRY, P. y WISEMAN, S. (1989) A ’New’ Security Policy Model. IEEE
Symposium on Security and Privacy 1980 – 1999. pág 215-228
THIEME, R. (2001) What Insurance Can – and Can’t – Do for Security Risks. Secure
Business Quarterly, Vol. 1, Iss. 2.
http://www.sbq.com/sbq/rosi/sbq_rosi_insurance.pdf
24
UNIVERSITY OF TEXAS. Economics of IT Security.
http://www.utdallas.edu/~huseyin/security.html
