Tanto la investigación como la experiencia práctica que he adquirido como oficial de seguridad, como asesor de seguridad, o como auditor de TI, me han mostrado la conexión mutua entre las operaciones de seguridad y la gobernanza corporativa. Las metodologías de seguridad y de auditoría sugieren cumplir con tales submetas, las cuales contribuyen al cumplimiento de los objetivos estratégicos de la compañía. En cada área de operaciones corporativas estas submetas pueden traducirse fácilmente en tareas prácticas y comprensibles, las cuales pueden asignarse a miembros de la organización de diferentes áreas. Algunas medidas de seguridad seleccionadas razonablemente podrían apoyar incluso el éxito de mercado de las compañías, mientras, por otro lado, los objetivos estratégicos pueden utilizarse para justificar los originalmente relacionados con la seguridad.

Por otro lado, las metas de gobierno pueden apoyar la seguridad. Con el fin de que la gerencia comprenda los beneficios de las metas de seguridad, y que las acepten, se tiene que comprobar la relación de estas con el éxito de la compañía. Esta idea surgió de mi práctica diaria: ¿Cómo podría yo obtener presupuesto para construir una red segura en un banco?

El contenido de este artículo es una parte de mi presentación en la Conferencia (ISC)2 SecureCEEBudapest en Hungría, el 21 de abril de 2015, en la que consideramos los siguientes temas:

  • Una forma de establecer la interconexión entre gobernanza y seguridad.
  • Los principales atributos de mi metodología.
  • Una definición útil para la medición y predictibilidad de la seguridad operacional y la seguridad de la información.
  • El soporte a la administración del riesgo.
  • El criterio de excelencia (criterio de excelente gobernanza).
  • El problema de inducir el involucramiento de la gerencia.
  • Ejemplos para aplicar el criterio de excelencia y los pilares.

.

Una forma de establecer la interconexión entre gobernanza y seguridad

Para establecer la metodología, primero tuve que definir la seguridad operacional con conexiones claras hacia la estrategia y la ayuda metodológica para alcanzar objetivos estratégicos.

Para lograr el establecimiento de la interconexión entre gobernanza y seguridad, la alta gerencia debe tomar responsabilidad en la identificación de objetivos estratégicos, proporcionar apoyo para su cumplimiento y crear la misión de todo empleado: ir hacia esos objetivos.

.

Los principales atributos de mi metodología

¿Cuáles son los principales puntos de mi metodología?:

  • Define una seguridad operacional y una seguridad de la información útiles, medibles y predecibles.
  • Ayuda a encontrar submetas que apoyen los objetivos estratégicos y operacionales del personal.

A mis metas propuestas las denomino criterio de excelencia. Estas, con diferentes ponderaciones, pueden ser condiciones necesarias, pero no necesariamente suficientes, para los objetivos estratégicos.

Para la identificación de dichos objetivos y medidas que contribuyan a su cumplimiento, necesitamos aspectos (puntos de vista) y posibilidades para clasificarlos. Entonces podremos comparar su relevancia con respecto a otro. Tales aspectos son lo que llamo pilares de la operación: organización, reglamento y técnicas.

Una de mis más importantes herramientas es un activo, y una definición de riesgo relacionada con esfuerzo, la cual puede ser utilizada para comparar el significado de los diferentes problemas.

.

Una definición útil para la medición y predictibilidad de la seguridad operacional y la seguridad de la información

La definición que propongo para una seguridad operacional medible y predictible es: un sistema organizacional, regulatorio y técnico, para que se establezca en la compañía, mediante la identificación de los objetivos operacionales relacionados con la estrategia y las actividades operacionales, las cuales contribuyen al cumplimiento de estos objetivos. Tal sistema, que satisface al menos algunos de estos criterios, el criterio por excelencia (de acuerdo con las prioridades de la alta gerencia), o aquellos de sus directores de las diferentes áreas del negocio, de una manara predecible, medible y escalable.

Normalmente estos criterios pueden no ser cumplidos al mismo tiempo o, al menos, no en la misma medida. La alta gerencia o sus directores deben determinar cuál criterio es más o menos importante en el cumplimiento de los objetivos estratégicos o una submeta relacionada con el negocio. La alta gerencia tiene que evaluar qué negocio es más relevante en una situación dada, y entonces esta ponderación debería también considerarse cuando el analista de sistemas, el experto de seguridad de información o algún otro coordinador describe el resultado.

La seguridad de información tiene que derivar de la seguridad operacional. Por lo tanto, el sistema de información de una compañía puede considerarse seguro si apoya o soporta la seguridad operacional en una manera medible y predecible.

Debe tomarse en cuenta que, como se infiere de los comentarios arriba mencionados, la prioridad de los sistemas individuales, y sucesivamente la prioridad de los componentes, dependen de la prioridad estratégica del proceso operacional que soportan. Los procesos operacionales pueden ser procesos de negocio o procesos que soportan las operaciones como, por ejemplo, recursos humanos, seguridad, finanzas, etcétera.

.

Soporte a la administración del riesgo

Con este enfoque de seguridad operacional, es necesario contar con una definición de riesgo relacionado con la meta. Esta meta puede ser a nivel estratégico, o puede ser una submeta, la cual contribuye al cumplimiento de la primera. La otra novedad de mi noción de riesgo es que el activo, el cual desempeña una función en el cumplimiento de la meta, también se muestre expresamente. Por tanto, mi riesgo es un valor, el cual es asignado a un par de activos corporativos, y el objetivo operacional es una meta de las operaciones de la compañía.

El riesgo es directamente proporcional a:

  • La importancia estratégica o de negocio de este activo, en la búsqueda del objetivo operacional. Esto es la llamada “distancia” del activo con respecto a la meta.
  • La probabilidad de la ocurrencia de un evento que amenaza el uso del activo por parte del negocio.
  • La vulnerabilidad de este activo.

.

El criterio de excelencia (criterio de excelente gobernanza)

Los criterios pueden clasificarse de muchas maneras. Una de las posibilidades es dividirlos en dos grupos: criterio de excelencia operacional y criterio de excelencia en el manejo del activo.

El beneficio de ambos grupos es que, si enfocamos objetivos estratégicos mediante estos criterios, entonces logramos una línea base de metas prácticas y actividades.

Los criterios de excelencia operacional son:

  • Efectividad
  • Eficiencia
  • Cumplimiento
  • Confiabilidad
  • Excelencia de la administración del riesgo
  • Funcionalidad
  • Orden

Los criterios de excelencia del manejo de activos son:

  • Disponibilidad
  • Integridad
  • Confiabilidad

.

Criterio de excelente gobernanza–excelencia operacional

Una actividad operacional es efectiva si sus resultados cumplen con los requerimientos predefinidos, los cuales aceptaron todos los interesados.

Una actividad operacional es eficiente si se lleva a cabo en la forma predefinida, documentada y costo-efectiva, con uso óptimo de los recursos humanos y materiales.

Una empresa opera en una forma de cumplimiento, o las operaciones de una compañía observan un criterio de cumplimiento, si se cumple en una forma documentada con cualquier requerimiento de las autoridades que regulan aspectos de las actividades de la compañía.

Las operaciones de una compañía son confiables si están organizadas de tal manera que proveen los servicios acordados en tal manera que apoyan el trabajo del personal, de acuerdo con las mejores prácticas profesionales.

La excelencia en la administración del riesgo es una estrategia conducida que administra los riesgos relacionados con:

  • Una meta dada
  • Un activo, el cual es capaz de servir a esta meta
  • El esfuerzo que el personal de la compañía ejerce relacionado con este activo, con el fin de contribuir al logro de la meta.

Lo interesante del criterio de excelencia individual, con respecto a los demás, debe siempre ser evaluado por la alta gerencia o los directores de área; tomando en consideración la estrategia de la compañía, ellos deben decidir cuál criterio es relevante en una situación dada.

Ya se abordó la distancia entre un activo y una meta. Esta misma noción puede utilizarse aquí también. La evaluación de metas, activos y otros factores, de acuerdo con su importancia estratégica, significa que los responsables de la compañía deben tener en consideración la distancia de estos factores, ya sea entre ellos o con otros factores, según lo demande la situación.

La funcionalidad del sistema de información de una compañía es adecuada si sirve a los empleados de tal forma que puedan cumplir con los requerimientos de su trabajo de la mejor manera posible.

El orden es por definición adecuado si la alta gerencia toma la responsabilidad del bienestar de la empresa:

  • Para la determinación de tal estrategia, la cual también contribuye al éxito en el mercado tanto como sea posible.
  • La responsabilidad por su mantenimiento continuo.

Con el fin de cumplir con los objetivos estratégicos, se deben identificar metas de bajo nivel. El “orden” puede ser tal meta. Ejemplos de submetas útiles de orden son:

  • Submetas regulatorias: documentación, planeación de la administración de la continuidad del negocio, inventario dinámico, administración del cambio y de liberación, directrices procedimentales, etcétera.
  • Submetas organizacionales, por ejemplo, educación, separación de tareas, descripciones de trabajo y de roles significativas.
  • Submetas técnicas.
  • Submetas organizacionales y regulatorias: procesos operacionales organizados, por ejemplo, desarrollo de aplicaciones organizado en el departamento de TI; documentación a través del ciclo de vida de cada producto, proceso de prueba planeado.

.

Criterio de excelente gobernanza – criterio de excelencia en manejo de activos

El manejo confidencial de activos significa que aquellos y solo aquellos empleados quienes tienen una tarea relacionada con ellos, tengan acceso a dichos activos.

Se dice que la integridad de un activo es preservada si al ser manejada o procesada no es cambiada inadvertidamente.

Disponibilidad de un activo significa que si tiene un rol particular en un asunto determinado, entonces está disponible para todo empleado competente, en una forma planeada, predecible y documentada, de acuerdo con los acuerdos preliminares sobre su accesibilidad, los cuales tienen que referirse a cada prescripción cualitativa y cuantitativa relevante en el asunto.

.

[email protected]

http://users.nik.uni-obuda.hu/szenes/

.

Referencias:

CISA Review Technical Information Manual

ed.: Information Systems Audit and Control Association, Rolling Meadows, Illinois, USA

– Involucramiento personal: Fui miembro del equipo de aseguramiento de calidad del CISA Review Manual (CRM), 1998

COBIT® and related materials 1998, (COBIT = Control Objectives for Information Technology), Copyright © IT Governance Institute®

  • COBIT® 1 Framework, Management Guidelines, Maturity Models, Copyright © IT Governance Institute® , 2007
  • COBIT 5.0 Vol. I – The Framework” and “COBIT 5.0 Vol. IIa–Process Reference Guide © 2011 ISACA, working paper
  • Enabling Processes – COBIT 5 An ISACA Framework, Copyright © 2012 ISACA

– Involucramiento personal: Fui miembro del Grupo Experto de los temas en cuestión.

La familia del estándar 27000 :

  • International Standard ISO/IEC 27000 First edition 2009-05-01, Information technology — Security techniques — Information security management systems — Overview and vocabulary, Reference number: ISO/IEC 27000:2009(E) Copyright © ISO/IEC 2009
  • International Standard ISO/IEC 27001 – 2nd edition: Oct. 1, 2013

.

Algunas de mis publicaciones:

  • Building a Corporate Risk Management Methodology and Practice

EuroCACS 2002 – Conf. for IS Audit, Control and Security Copyright 2002

ISACA, Tutorial

  • 2010: «IT GRC versus Enterprise GRC

but: IT GRC is a Basis of Strategic Governance»; EuroCACS 2010

  • 2011: Enterprise Governance against Hacking. Procds. of the 3rd IEEE

International Symposium on Logistics and Industrial Informatics – LINDI

2011 August 25–27, 2011, Budapest, Hungary

  • 2011: Serving Strategy by Corporate Governance – Case Study: Outsourcing of Operational Activities; Procds. of 17th International Business Information

Management Association – IBIMA November 14-15, 2011, Milan, Italy, ed. Khalid S. Soliman