Las interconexiones dinmicas BMIS

Las interconexiones tambin sealan que BMIS no es esttica. Representan las

partes dinmicas de la modelo en el que las acciones se producen cambios y
donde, a su vez, influyen en los elementos.
Los elementos de BMIS, como se ha descrito anteriormente, no existen en
forma aislada. En los enfoques tradicionales de seguridad, las dependencias
entre los elementos se pasan por alto. Esto conduce al pensamiento lineal y la
escalada de los pasos y medidas en un solo elemento, pero sin llegar
necesariamente a mejoras en la seguridad real. A menudo es obvio que, en la
prctica, los cambios de un elemento influenciaran a todos los dems
elementos. La forma en que BMIS expresa estas dependencias es a travs de
DIs.
Cualquier DI entre dos elementos es flexible y tambin representa la tensin de
potencial entre los elementos. A modo de ejemplo, los elementos de
organizacin y las personas estn estrechamente vinculados, pero muchas de
las dificultades conocidas en el tallo negocio del da a da del hecho de que la
estructura determinada organizacin no coincide con las expectativas de las
personas. Del mismo modo, la habilitacin y de apoyo DI entre el proceso y la
tecnologa, obviamente, existe, pero puede ser filtrada en momentos en que
las nuevas tecnologas no se enchufa a los procesos existentes. Las tensiones
en ED generalmente distorsionan el modelo y, en el transcurso del tiempo, dar
lugar a cambios que reducen la tensin entre los elementos.
Las interconexiones tambin sealan que BMIS no es esttica. Ellos
representan la parte dinmica del modelo en el que las acciones se producen
cambios y donde, a su vez, influyen en la elementos. La naturaleza humana
tiende a permanecer constante, independientemente de si la gente se
encuentra dentro de una organizacin o fuera de ella. Del mismo modo, la
adopcin de cambios en estrategia de organizacin ocurre en una serie de
pasos, y, a veces lentamente. Sin embargo, la DI Cultura entre organizacin y
la gente est sujeta a cambios frecuentes, y en pensamiento sistmico, la
cultura es ms que la suma de sus partes.
El DIS en BMIS tambin interacta entre s en un sentido sistmico. En algunas
situaciones, el comportamiento de todo el sistema crea bucles de
retroalimentacin o feedforward. Estos bucles cambian dinmicamente el
sistema y poco a poco se mueven a un nuevo estado. Cuando existan
tensiones que distorsionan el modelo, los cambios se presentarn por primera
vez en una DI y luego en los elementos correspondientes. Esto, a su vez, puede
influir en otros DIs y elementos, dando lugar a un bucle que es de autorefuerzo y se mueve el modelo como un todo.
Gobernante
De acuerdo con ISACA, gobierno es el conjunto de responsabilidades y
prcticas ejercidas por el consejo y la direccin ejecutiva con el objetivo de
proporcionar direccin estratgica, que se cumplan todos los objetivos,

determinar que los riesgos se manejen de forma adecuada y verificar que los
recursos de la empresa se utilizan con responsabilidad. Gobierno de la
empresa y el gobierno de TI establecen los lmites globales para lo que es
factible dentro de seguridad de la informacin. Como tal, el gobierno se
encuentra fuera de, y toques, todos los aspectos del modelo BMIS. Gobierno de
la empresa, entre otras cosas, influye en la forma que toma una organizacin,
as como la forma en la tecnologa de los elementos personas, procesos y se
unen para apoyar la misin y estrategia de la organizacin. Por ello, el Consejo
de DI se traduce conceptos y medidas de gobierno existentes (a nivel del
elemento de organizacin), alentando a las organizaciones para cumplir con
sus misiones y objetivos y establecer lmites y controles de nivel de proceso.
Actuando como la conexin entre los elementos de Organizacin y Procesos, el
DI de Gobierno (figura 8) representa la accin de gobierno de poner en prctica
dentro de BMIS. Esto significa que la gestin del proceso, mientras que la
aplicacin del sentido de la orientacin establecida por la alta direccin.
Mientras que los dos elementos representan lo que hay que hacer y cmo
hacerlo, esto DI acta como un catalizador para realmente conseguir que se
haga. Administracin se logra a travs de la interconexin con el elemento de
proceso. Las normas y reglamentos-es decir, normas y directrices se reflejan en
el elemento de proceso a travs hocprocedures y prcticas definidas o de
anuncios.
El circuito de retroalimentacin que modifica activamente el DI de Gobierno
resultante de las otras DI de Cultura y Arquitectura, que acta sobre el diseo y
la estrategia. Por ejemplo, en la medida en que el elemento de tecnologa es
insuficiente para atender las necesidades de seguridad de la organizacin, la
Arquitectura DI va a crear "tensin", lo que distorsiona el modelo y lo que
resulta en la necesidad de cambios en el diseo que, a su vez, modificar la
estrategia que cambia la DI de Gobierno. Los cambios en el Consejo de DI
modificarn los procedimientos y prcticas en el elemento de proceso.
Objetivos
Los procesos deben servir a los objetivos de la organizacin a un nivel
aceptable de predictibilidad, el riesgo. La accin de gobierno debe establecer el
foco de lo que se debe lograr en los distintos procesos de la organizacin
(elemento de proceso) y al mismo tiempo establecer los lmites sobre las
actividades que mitiguen los riesgos suficientemente. Rige tambin debe
abordar cuestiones de conservacin de la organizacin, o la sostenibilidad, y
hacerlo sin limitar innecesariamente la capacidad de la organizacin para
prosperar y prosperar.

Enfoques
Administracin abarca todas las actividades tcticas necesarias para lograr la
estrategia de la organizacin en el contexto del diseo de la organizacin.
Cualquier actividad de gobierno que no cumple con estos criterios ser
contraproducente y crear tensiones excesivas '' que deben ser resueltos a
travs de cambios en el diseo y la estrategia o en el DI de Gobierno. El exceso
de gobernar ms all de lo necesario para alcanzar los objetivos de negocio y
limitar los riesgos a niveles aceptables se convierte en una burocracia de
constriccin, lo que reduce la capacidad de adaptacin de la organizacin y la
capacidad de recuperacin para hacer frente a situaciones de emergencia.
Las herramientas principales para gobernar son las normas y acciones que
guan demostrable cumplan intencin de la poltica. Normas que no presten el
conjunto adecuado de lmites y orientaciones darn lugar a una exposicin al
riesgo inaceptable para la organizacin. Normas que son demasiado
restrictivas innecesariamente limitan las opciones de procedimiento y un
impacto negativo en la capacidad de recuperacin de la organizacin,
adaptabilidad y eficacia. Del mismo modo, otras acciones que representangobierno en el sentido activo de la palabra-gua deben estar vinculados a la
estrategia de la organizacin y los objetivos resultantes. Cada accin tomada
en trminos de gobierno debe tener una justificacin y razn de ser clara, en
particular los que influyen y dar forma a los procesos de seguridad. Gobierno-y,
por lo tanto, el Consejo de DI-incluye, pero no se limita a:
Polticas
Los estndares, guas y otros documentos normativos
Normas de rendicin de cuentas
Asignacin de recursos y priorizacin

 Mtrica (por todo lo anterior)

Cumplimiento (como un tema general)
La comunicacin es vital dentro de la DI de Gobierno. De Gobierno debe
filtrarse en la organizacin a travs de todos los niveles de gestin a travs de
los canales apropiados. Para lograr la mxima eficacia, debe ser intrnseco a la
cultura, as como las prcticas y procesos de la organizacin. -requisitos de
seguridad a menudo simplemente buenas prcticas deben ser abordados en
todas las descripciones de puestos y esas responsabilidades y compromisos
reforzados de forma continua a travs de campaas de formacin y
sensibilizacin.
Muchos de los temas que aborde la seguridad de la informacin resultan
simplemente de diseo o proceso de pobre o inadecuada o el fracaso de la
cultura para valorar la recta lo suficientemente a menudo un resultado de
centrarse exclusivamente en el rendimiento. Si no se controla, los procesos
pueden cambiar con el tiempo y desarrollar sus propios fines y medios, sobre
todo para lograr los objetivos de malos entendidos o para acomodar el
aumento presin. Administracin requerir la realineacin de todos los
procesos tanto con los objetivos de negocio y la cantidad de riesgo asociado
con la actividad empresarial. Es responsabilidad de la administracin de
promulgar posteriormente los procesos y ser consciente de los riesgos y los
objetivos generales.
La gestin eficaz del riesgo exige un liderazgo estratgico y la responsabilidad
y la rendicin de cuentas de la seguridad debe colocarse directamente en las
manos de la junta y los ejecutivos de alta direccin. En muchas empresas, la
seguridad es vista como un problema tcnico (o incluso TI) de bajo nivel en
lugar de un requisito estratgico. El resultado ha sido evidente en la
continuacin de los titulares de informes cada vez ms espectaculares
compromisos de seguridad. Una vez ms, BMIS inserta el DI de Gobierno como
un medio de hacer frente a las tensiones que puedan existir entre la estrategia
de la organizacin y los procesos de seguridad. Por ejemplo, los procesos
sujetos a exagerada reduccin de costos pueden resultar de una ambiciosa
estrategia de reduccin de costes que se ha establecido por la alta direccin.
En este caso, gobernar es el acto de definir los niveles de seguridad "mustalcance ', partidas de costes aceptables y' must-have 'las inversiones en
seguridad.
Todas las actividades que rigen deben ser explcitos y son una parte necesaria
del diseo y la estrategia con enlaces definidos entre el diseo, la estrategia y
el proceso de organizacin.
Marcos / normas que apoyan el DI de Administracin se incluyen:
COBIT
Val IT
COBIT Seguridad de lnea de base

 Arrisgalo
Principios de la OCDE para el gobierno corporativo
Sistemas de Gestin de Seguridad de la norma ISO 27000 serie de
Informacin
Marco de Gestin de Riesgos COSO Empresa
Controles de seguridad del NIST SP 800-53-Recomendado para
Sistemas de Informacin Federal, para ms temas relacionados con
las TI.
Cultura
Mientras que la tecnologa y la poltica siguen siendo elementos importantes en
la obtencin de informacin de la empresa, se ha hecho evidente que no son
suficientes por s solos. Cultura (figura 9) es uno de los DI que separa BMIS de
otros modelos de seguridad. Al abordar la cultura y su impacto en el
comportamiento BMIS proporciona una imagen ms completa de la empresa. El
impacto de la cultura en las personas es un tema clave en la seguridad de la
informacin ya que las personas son capaces de contribuir a la seguridad de la
informacin o, por el contrario, a comprometerla.
La cultura DI afecta y es afectado por, los elementos de las relaciones de
Organizacin y Personas-lgicos porque la cultura interna de la empresa puede
estar relacionado con las influencias culturales en el individuo. La sinergia
entre los recursos humanos y la organizacin es la base de la cultura
corporativa.

Qu es cultura?
Para mejorar el programa de seguridad de la informacin, los gerentes deben
examinar y entender la cultura que existe dentro de la empresa, y luego deben
ampliar las fortalezas de la cultura y reconocer o mejorar sus debilidades para
crear una cultura que es verdaderamente intencional en su enfoque de la
seguridad.
La cultura organizacional es un tema ampliamente documentado para los que
se han publicado muchas definiciones. La definicin que utiliza BMIS es: "La
cultura es un patrn de comportamientos, creencias, suposiciones, actitudes y
formas de hacer cosas. El patrn de la palabra es clave en esta definicin. Los
cultivos se componen de individuos, pero no representan necesariamente los
comportamientos individuales. Es la cultura la que influye en los
comportamientos individuales y grupales. En el uso de BMIS, hay dos capas de
la cultura que deben ser considerados. La cultura organizacional se forma con
el tiempo por la estrategia, diseo organizacional y comportamiento de las
personas en el trabajo. La segunda capa se encuentra en el cultivo individual
de las personas, que puede ser diversa y heterognea. Ambas capas se deben
tener en cuenta cuando se visualiza la cultura como DI que influye en la
seguridad.

Las personas son la clave para la cultura, y la cultura, a su vez, crea un

conjunto de percepciones de la gente. Adems de los factores internos de la
organizacin, como la compensacin, la alabanza, las posibilidades de
promocin y otras polticas de gestin, las percepciones estn influenciadas por
factores externos a la empresa, como la religin, la etnia, situacin
socioeconmica, la ubicacin geogrfica y las experiencias personales. Estos
factores externos, que en la superficie no parecen tener mucho impacto en el
da a da de las operaciones se manifiestan en comportamientos llevados al
lugar de trabajo y son a menudo mucho ms importante de lo esperado, ya
que forman bases para comportamientos del lugar de trabajo y normas.

Para mejorar el programa de seguridad de la informacin, los gerentes deben

examinar y entender la cultura que existe dentro de la empresa, y luego deben
ampliar las fortalezas de la cultura y reconocer o mejorar sus debilidades para
crear una cultura que es verdaderamente intencional en su enfoque de la
seguridad. No es una tarea fcil para mejorar o cambiar una cultura que se
establece y ha funcionado de una forma particular, para cualquier perodo de
tiempo; sin embargo, es un paso crtico en la mejora de la postura general de
riesgo de cualquier empresa. Las etapas posteriores en la creacin de una
cultura de seguridad van ms all de la mera comprensin de la cultura
existente.

Sin embargo, dndose cuenta de lo que ya existe es un primer paso

importante. El cambio o la mejora de una cultura general de la organizacin es
un esfuerzo que es, por definicin, limitado, ya que las personas en s mismas
son poco probable que cambie drsticamente. Por lo tanto, es importante
reconocer las limitaciones de cambiar el segundo (personas) capa de la cultura.
Es posible, sin embargo, para cambiar la primera capa, que es la comprensin
de la organizacin de comportamiento esperado y la comprensin de la
seguridad, y esto debe ser el objetivo de las medidas adoptadas en la
formacin de la cultura de la seguridad.
Las culturas son tan diferentes en las organizaciones como las caractersticas
subyacentes que los forman. La cultura corporativa se piensa a menudo como
un producto creado por la alta direccin a travs de reglas. Si bien es cierto
que el liderazgo tiene una fuerte influencia sobre la cultura de la empresa, la
cultura se crea realmente por los patrones de conductas y actitudes de la
gente, que son influenciados por sus percepciones y creencias e incluso a
veces por la costumbre y la tradicin.
Gestin de la seguridad sistmica de investigacin (SSM) identifica seis
aspectos de la cultura que son de particular importancia a la informacin
Problemas de seguridad, y marco de riesgos de ISACA aade un sptimo:
Las reglas y normas
Tolerancia para la ambigedad
Distancia de poder
El factor de cortesa
Contexto
Colectivista vs. Individualista
La asuncin de riesgos versus con aversin al riesgo
Si bien algunos de estos aspectos puede parecer familiar, tambin destacan los
conceptos menos comunes tales como el factor de cortesa, en el que la gente
tiene miedo de corregir sus superiores o compaeros a fin de no avergonzarlos;
la tolerancia a la ambigedad, que examina lo bien que la empresa afronta lo
desconocido y con el cambio; y el colectivista vs mentalidad individualista, que
se centra en cmo lograr que los empleados lejos de "yo" para centrarse en
"nosotros".
Adems de los aspectos mencionados, las empresas deben tener en cuenta el
efecto de factores como la ubicacin geogrfica, la etnia y la religin. Por
ejemplo, muchos pases, ya sea a travs de las influencias de la religin o la
tradicin, tienen una cultura de confianza. Los valores por defecto de gestin
han de confiar en la integridad de los empleados, proveedores y clientes.
Algunos consideran que confiar en la base misma de negocio desde la
confianza es la disposicin de una parte a ser vulnerables a las acciones de
otra parte, con base en la expectativa de que el otro va a realizar una accin

particular importancia a la primera parte. En un tiempo, cuando el mundo de

las finanzas, el comercio y la industria era ms estable, estos rasgos podran
haber sido una suposicin razonable. Sin embargo, en un entorno de
globalizacin esta es un rea a la que el gerente de seguridad de la
informacin debe prestar mucha atencin. "No confes en nadie 'es un extremo
que debe ser evitado al igual que la (visto con frecuencia) otro extremo del
espectro:' Tenemos toda la confianza entre s por aqu.
Debido a que todas las culturas de la empresa (la primera capa de la cultura se
ve desde una perspectiva de seguridad) tienen su propio sabor, es importante
que el gerente de seguridad de informacin para comprender que lo que es
mejor para la organizacin es importante para la cultura de seguridad: si las
personas son fieles a la de la empresa, que son ms propensos a manejar la
informacin de una manera segura. Estrategias y metas bien establecidas y
bien comunicados pueden ayudar a las organizaciones crecen desde el "yo"
perspectiva al "nosotros" perspectiva. Idealmente, esto significa que,
independientemente de las polticas y procedimientos de seguridad formales,
las personas son propensas a desarrollar una perspectiva consciente de
proteccin de la informacin, tal como lo haran cuando la proteccin de sus
propios hogares. Sin embargo, esto conlleva la gestin y del personal que
compartan una comprensin comn; Slo donde la cultura de la empresa no
slo se entiende, pero compartida, ser el resultado global sea aceptable.

Ejemplo
En una empresa asitica que provee servicios externalizados a muchas
empresas europeas y estadounidenses, la seguridad parece haber sido bien
comunicada, documentado y 'vivido'. Una inspeccin no planificado revela que
en el da antes de la auditora anunciado, la mayora de las normas de
seguridad se infringen abiertamente, y no hay una diferencia significativa entre
la situacin como se ha observado y como se ve en auditoras anteriores. En
las entrevistas de administracin, el auditor se entera de que "la visita no haba
sido anunciada y fue planeado para el da siguiente".
Desde una perspectiva BMIS, este ejemplo demuestra dos cosas. En primer
lugar, tal como se define la cultura y comunicada es algo que el personal y la
administracin local han entendido, pero no internalizado. Parece ser que las
expectativas de los clientes se cumplan en la medida de la capacidad de las
personas, pero slo cuando una auditora se lleva a cabo o algn otro
mecanismo de vigilancia est en su lugar. En todos los dems casos, las
expectativas de seguridad expresadas por el cliente son, en el mejor, visto
como extrao y cortsmente ignorado. En segundo lugar, la cultura individual
de las personas, y tal vez la cultura local en su conjunto, son, obviamente,
completamente diferente de la cultura que prevalece en los pases de origen
de los clientes. Esto crea una enorme tensin en el modelo de cultura DI.
Para resolver estas discrepancias culturales, BMIS indicara acciones en la
cultura DI, por ejemplo, a travs de la insercin de las personas expatriadas en

la gestin de la seguridad o la adscripcin de los gerentes de seguridad de la

zona para los pases de origen de las empresas de outsourcing a Asia.
Independientemente del modelo de seguridad aplicado, es probable que este
proceso de adaptacin cultural lenta puede tardar mucho tiempo.

Ejemplo
En una empresa de fabricacin en Alemania, la gestin de la seguridad observa
ocurrencias frecuentes de las infecciones de virus, malware y aplicaciones no
autorizadas ser descargados a la red corporativa. Durante mucho tiempo, la
alta direccin ha mantenido una poltica de seguridad estricta, junto con una
cultura de orientacin detallada y de gran alcance que incluye la aplicacin de
medidas disciplinarias y el despido. Una auditora revela que, con el creciente
uso de la web y aplicaciones Web 2.0, los empleados inadvertidamente han
comenzado a tomar mayores riesgos. Como resultado, el nmero de incidentes
de seguridad se ha incrementado significativamente. Hay una tensin evidente
en la cultura DI.
Un anlisis desde la perspectiva BMIS muestra que existe una cultura de
seguridad "viejo" que no es infrecuente en las empresas de fabricacin:
estricta seguridad es parte del modelo de negocio y todos los secretos
comerciales estn bien protegidos. Este cultivo de proteccin es, obviamente,
bien entendida y aceptada por los empleados ya que el problema parece estar
centrada en l y no los otros procesos de negocio. La "nueva" cultura de la
seguridad, por el contrario, an no ha formado y los empleados parecen estar
utilizando la web en un sentido no guiado sin vigilancia-y. Ellos han sido
entrenados para trabajar de acuerdo con un estricto conjunto de reglas, y que
no estn tan bien equipados para ejercer precaucin cuando no hay reglas.
Esto es confirmado por los empleados por considerar que "no lo hicieron a
propsito '.
En este ejemplo, el problema de las violaciones de seguridad de la informacin
se resuelve ms adelante mediante la incorporacin de un consultor externo
que entrena a los empleados 'en el trabajo'. Una red encapsulada se estableci
que simula el uso tpico de la web y aplicaciones Web 2.0. Los empleados se
dan demostraciones prcticas de cmo implementar un virus, cmo insertar
malware, etc. Despus de algunas sesiones, que demuestran ser enorme
diversin a los empleados entrenados, el nmero total de incidentes de
seguridad disminuye bruscamente.
Mientras que las culturas empresariales son nicas, que caen en ciertas
categoras. Cada una de estas categoras tiene caractersticas que describen la
forma en que las personas relacionadas con la interaccin entre la empresa, la
priorizacin de la creatividad y la innovacin en la forma en que la empresa
opera, la capacidad de la empresa para hacer frente a la ambigedad, y su
tolerancia y flexibilidad en lo que se refiere al cambio. Estas caractersticas
forman la base de la cultura de la organizacin y son a menudo parte de los
valores fundamentales de la empresa.

Ejemplo
En una cultura jerrquica o militarista, la idea dominante es uno de mando y
control. La adhesin estricta a las rdenes es un hecho, y las decisiones se
toman de forma estrictamente jerrquica y de acuerdo con su rango. La
direccin ejecutiva empuja hacia abajo sus creencias y preferencias y dirige el
negocio de acuerdo con esas creencias. Estos tipos de organizaciones han
definido las estructuras y pueden dejar poco espacio para la opinin de los
empleados o la innovacin. La ventaja percibida de estas culturas rgidas es el
funcionamiento predecible de grandes grupos de personas a un nivel definido.
Las fuerzas militares, en particular en tiempos de paz, se ven a menudo como
burocrtico, lento e ineficiente. Sin embargo, su objetivo principal es eficiente y
completamente predecible que funciona en tiempo de guerra para que no haya
sorpresas y se garantiza as una fiabilidad total.
Otras culturas son ms igualitaria en la naturaleza, la visualizacin de todo el
personal como iguales y teniendo en cuenta las reglas como menos importante
que la productividad. En estos casos puede haber una falta de estructura y la
gente a menudo se dejan a su suerte en cuanto a la forma de entregar. Los
problemas de seguridad son a menudo evidente, porque la gente elige para
eludir los controles o procedimientos existentes para producir una salida
rpida. La seguridad no se puede cumplir de manera consistente, por lo que los
comportamientos se convierten en normas de seguridad y se evita
generalmente.
Los problemas existen en ambos tipos de ambientes. Por ejemplo, dentro de
una cultura jerrquica de la distancia de alimentacin es alta. En esta direccin
ejecutiva situacin tiende a ser autorizada y exige la adhesin de los
empleados a normas estrictas. Los empleados pueden seguir las polticas de
seguridad por temor a las consecuencias. Esta cultura no ayuda a los
empleados aprecian o entienden la seguridad. La percepcin de que puede
surgir de seguridad hace las cosas ms difciles o acta como un obstculo
para la realizacin del trabajo.
Del mismo modo, una empresa en la que la gestin es el laissez-faireand
centrado principalmente en la productividad a una distancia menor consumo
de energa, que puede carecer de estructura y polticas bien definidas o puede
tener polticas que no se hacen cumplir. La percepcin es que la seguridad es
opcional o es secundaria a la realizacin del trabajo.
Como puede verse, ni tipo de entorno lo convierte en un "mejor" cultura de la
seguridad. De hecho, ambos dan lugar a problemas potencialmente graves. En
el primer ejemplo (un cultivo con una alta distancia de poder), los empleados
pueden estar tan atados a la poltica por temor a la falta de cumplimiento que
pueden no ser capaces de reconocer un problema emergente o la amenaza
indocumentado como un posible riesgo para los activos de informacin
empresarial. Con tal de que han seguido las reglas, se sienten seguros sin
tener que pensar "fuera de la caja". Del mismo modo, en una cultura con una
distancia de baja potencia, las personas pueden ignorar o evitar los
procedimientos de controles para realizar su trabajo ms rpido, creando

riesgos potenciales. Cuando nos enfrentamos a un incidente de seguridad, la

gente tiende a sealar que "la seguridad no es lo que estamos aqu para;
tenemos un trabajo que hacer '. Un equilibrio entre estos dos tipos de
ambientes lo ms probable es crear una cultura de mejora de la seguridad. Sin
embargo, la mayora de las empresas no tienen la mezcla perfecta de
flexibilidad y la estructura, por lo que el cambio es necesario.
Creacin de la Cultura de Seguridad
Mediante la implementacin de las expectativas y los deseos en una cultura de
seguridad, las organizaciones pueden ser capaces de utilizar la cultura para
mejorar realmente la seguridad empresarial.
La cultura de la organizacin afecta a todo el sistema de la empresa. Estar
preparado para hacer frente al cambio es esencial. Algunos tipos de cultivos
son ms abiertos a hacer frente al cambio que otros. A medida que la cultura
es a menudo el factor ms importante que representa el xito o el fracaso de
una organizacin, es de vital importancia que los profesionales de seguridad se
esfuerzan por crear una cultura que no slo da cuenta de la importancia de la
seguridad de la informacin, sino que tambin incorpore seguridad de la
informacin en su da a -day operaciones. Mediante la implementacin de las
expectativas y los deseos en una cultura de seguridad, las organizaciones
pueden ser capaces de utilizar la cultura para mejorar realmente la seguridad
empresarial.
La creacin de una cultura consciente de la seguridad no es una tarea fcil ni
rpida, sino ms bien un objetivo a largo plazo que debe ser considerado por
todos dentro de la empresa. La gente es un componente compatible con la
proteccin de la informacin. Todas las personas que componen una empresa,
desde la junta de directores y ejecutivos para el personal en todos los niveles-y
empresas con las que la empresa tiene relaciones con terceros tienen la
capacidad de mejorar la seguridad de la informacin o para debilitarla. Si la
gente se comporta con la seguridad en mente e incorporar las prcticas de
seguridad de la informacin en sus actividades diarias, hay una mejor
oportunidad de mantener activos de informacin empresarial protegida.
Las personas generalmente no son maliciosos, pero a veces son conscientes de
las polticas de seguridad, sin saber cmo poner en prctica las polticas o no
estn dispuestos a seguir los protocolos de seguridad. Concienciacin sobre la
seguridad y la educacin son tiles y necesarias, pero no suficientes por s
solos. El verdadero cambio tiene que ocurrir en la lnea de frente de la
organizacin en la que se establece la cultura. Independientemente de la
cultura actual de una empresa, es importante entender que la cultura puede
ser cambiada, y este cambio-de reactividad a la proactividad, y luego desde la
proactividad de intencional y consagrados seguridad debe ser considerado
como un objetivo central del programa de seguridad.
Al influir en la cultura de una empresa para ser ms propicio para la seguridad
de la informacin, los puntos fuertes de BMIS pueden aprovecharse para
mejorar la postura de seguridad global de la empresa. Los cambios culturales

deben ser vistos en una base de todo el sistema. En otras palabras, la mejora
de la cultura no sucede simplemente mediante el establecimiento de una
conciencia slida y programa de entrenamiento, conseguir la aceptacin de los
ejecutivos o cambiar procedimientos para incorporar prcticas seguras. Todas
estas medidas, y ms, son necesarios para cambiar efectivamente una cultura
a travs del tiempo.
Algunos primeros pasos para la mejora de la cultura para ser ms favorable a
la seguridad pueden incluir los siguientes:
Trabajar para establecer un programa de seguridad de la
informacin slida que incluye la entrada de la direccin de la
empresa y los lderes de unidades de negocio funcionales.
Encuentra lderes influyentes en toda la empresa para ayudar
a entregar mensajes clave.
Establecer, comunicar y hacer cumplir las polticas de
seguridad claras.
Fomentar la colaboracin entre las unidades de negocio,
reduciendo as la gestin de silos.
Trabajar para tener responsabilidades de seguridad incluidas
en las descripciones de trabajo y los exmenes anuales de
rendimiento para todos.
Lograr la concurrencia en las metas y objetivos claros.
Proporcionar los conocimientos, herramientas y habilidades
que las personas necesitan para manejar eficazmente los
activos de informacin.
Desarrollar procesos consistentes para el manejo de
informacin y el intercambio.
Desarrollar la formacin de escenarios para influir en el
cambio en las creencias y actitudes.
Trabajar para cambiar las percepciones negativas de
seguridad.
Comunicar, comunicar, comunicar.
Como se indica anteriormente, el cambio de una cultura requiere de muchas
actividades que son constante y coherente y afectar a personas de todos los
niveles de la empresa. La consistencia ayudar a asegurar que las actividades
comienzan a evocar el comportamiento deseable que las transiciones en las
normas no escritas (y ms tarde por escrito). Pequeos cambios intencionados
pueden tener efectos en cascada en toda la empresa. El aumento de la
colaboracin entre los grupos puede aumentar la confianza y unir a las
personas con un objetivo comn. Una vez que las personas comienzan a
trabajar juntos, pueden empezar a compartir las experiencias, lo que ayudar a
mejorar las relaciones y actitudes y demostrar en comn.
La cultura de la seguridad madura como los patrones de comportamiento se
ajustan para que la seguridad se convierte en arraigado en las actividades
diarias. A medida que se expanden formacin y la sensibilizacin, la conciencia
se ve reforzada y unidades de negocios individuales o grupos comienzan a

trabajar juntos hacia un objetivo comn: comportamientos, creencias y

actitudes cambiarn. Una vez que esto ocurre, se pasarn estos
comportamientos a las nuevas generaciones de empleados como las normas y
reglas. Esto es cuando el verdadero cambio se puede ver.
Aunque suena como una tarea de enormes proporciones (y lo es), cambiando
el ADN de la empresa es posible. Los beneficios de la creacin de una cultura
que es consciente de y conducente a la seguridad no slo se aplican a la
gerente de seguridad, pero tambin se extienden a la empresa; sus socios; y,
lo ms importante, a sus clientes.
Arquitectura
Arquitectura (figura 10) es la DI que conecta los elementos de la organizacin y
Tecnologa. Mientras que la arquitectura a menudo se equipara a la
infraestructura cuando se trata de la seguridad o de TI, es importante tener en
cuenta que la arquitectura constituye mucho ms que eso. En muchos
aspectos, la arquitectura de seguridad de la informacin es anloga a la
arquitectura de seguridad y de seguridad asociado con los edificios.

Arquitectura comienza como un concepto, un conjunto de objetivos de diseo

que se deben cumplir (por ejemplo, la funcin que va a servir; si va a ser un
hospital, una escuela, etc.). Luego avanza a un modelo, una aproximacin de la
visin forjada a partir de materias primas (servicios). Esto es seguido por la
preparacin de planos detallados, herramientas que se utilizan para
transformar la visin / modelo en un producto real y acabado. Por ltimo, est
el propio edificio, la realizacin o la salida de las etapas anteriores. De acuerdo
con ISACA Manual de Preparacin CISM:
La idea que subyace a toda la arquitectura es que los objetivos de los sistemas
complejos deben ser ampliamente definidos; han desarrollado especificaciones
precisas; sus estructuras han diseado y probado para la forma, tamao y

funcin; y tiene su rendimiento monitoreado y medido en trminos de los

objetivos de diseo y especificaciones originales.
ISO / IEC 42010: 2007 define la arquitectura como:
La organizacin fundamental de un sistema, encarnado en sus componentes,
sus relaciones entre s y con el medio ambiente, y los principios que rigen su
diseo y evolucin.
Una serie de enfoques especficos para la seguridad y la arquitectura de la
empresa existen, que generalmente puede ser categorizado como marcos o
modelos de procesos. Si una arquitectura empresarial incluye los objetivos de
seguridad de la organizacin, es inherentemente sienta las bases de la
arquitectura de seguridad detallada. Sin embargo, la separacin de los
elementos de seguridad de la arquitectura general no ayuda a la integracin,
que es el objetivo primordial de BMIS. Si bien una serie de enfoques para la
empresa y, en concreto, las arquitecturas de seguridad estn disponibles, uno
de los ms comunes es la abierta arquitectura marco de grupo (TOGAF). Otro
enfoque ampliamente aceptado es el marco Zachman la empresa y el marco
de seguridad derivado de negocios Sherwood Aplicada Arquitectura de
Seguridad (SABSA).
Desde BMIS es un modelo que abarca una serie de reas amplias, los primeros
pasos en la utilizacin que debe ser simple y directo. Como resultado, para los
propsitos de este documento el marco Zachman ampliamente incluyente y
fcilmente aplicable para la arquitectura de la empresa es un buen punto de
partida. Este marco se suma a BMIS proporcionando niveles definidos de la
arquitectura y componentes dentro de estos niveles.
En el marco Zachman, cada elemento se muestra en relacin con el nivel ms
alto, aspectos menos detalladas y a los niveles por debajo en mayor
granularidad. La jerarqua de seis capas se muestra como contextual,
conceptual, lgica, fsica, componentes y funcionamiento. Cada capa se
muestra las relaciones e interacciones de sus componentes. La capa superior
(contextual) est conectado directamente al diseo de la organizacin,
mientras que la fsica, de componentes y capas operacionales enlaza con el
elemento tecnolgico.
Ms all de la definicin de la ISO algo abstracta, la arquitectura en el sentido
funcional, incluido mejor podra ser descrita como una agrupacin de diseos
relacionados desde diferentes perspectivas en varios niveles de detalle. Para
BMIS, slo los tres primeros niveles del modelo Zachman empresariales
necesitan ser considerados, como se muestra en la figura 11.

El nivel
ms alto (contextual) define la relacin de una estructura a su entorno. En
trminos de un edificio, esto sera equivalente a una representacin del edificio
en su entorno con las carreteras, aparcamientos, rboles, etc. La misma idea
se aplica a la seguridad de la informacin. Reside en el contexto de la
organizacin, y la arquitectura contextual describir su relacin con la
organizacin: en donde en la estructura que existe, su relacin con otras
entidades orgnicas tales como finanzas, legal, marketing y/o operaciones.
En este nivel, la Arquitectura DI existe para asegurarse de que la seguridad de
la informacin, adems de cumplir con las leyes y reglamentos del pas, as
como caractersticas especficas del sector de la industria, incluyendo las
expectativas y requerimientos de los clientes o socios. Adems, los estndares
de seguridad de la informacin que se consideran las mejores prcticas pueden
ser considerados. La Arquitectura DI tambin es compatible con la estrategia
de la organizacin en el reconocimiento de los objetivos estratgicos y sus
implicaciones para la arquitectura y la tecnologa de las soluciones de
seguridad de la informacin.
El siguiente nivel inferior, por debajo de la arquitectura contextual, es el nivel
conceptual, que es el edificio equivalente del exterior de un edificio, desde
diversas perspectivas que se hace referencia como elevaciones. Para seguridad
de la informacin, esto va a definir lo que la funcin general se parece, sus
dimensiones y alcance. Se indicar los puntos de entrada y salida (puertas) y
los puntos de visibilidad (ventanas).
El nivel conceptual para la seguridad de la informacin asegura que la
tecnologa (fsico y lgico) no slo ayuda, pero permiten de forma activa, los
objetivos de seguridad. Este nivel tiene un conjunto de actividades y
tecnologas que trabajan en la consecucin de un objetivo comn de seguridad
de seguridad relacionado entre s, cooperativo e integrado.
El siguiente nivel (lgico) de la arquitectura de seguridad es similar a la planta
de un edificio. Muestra las relaciones internas y la actividad fluye entre ellos.
El nivel lgico especifica el diseo ms detallado de los componentes de
seguridad, el uso de la tecnologa para asegurarse de que se alcanzan los
objetivos definidos, podran ser resistentes a los ataques e incluso sostiene
prdidas. En el plano lgico, el plan general de arquitectura se crea que le da

un sentido de la orientacin a la gestin de la tecnologa y describe claramente

qu hacer. Tambin se pretende garantizar que la salida de una tecnologa de
seguridad se comunica adecuadamente (en tiempo y formato) a las otras
tecnologas que utilizan, proporcionando la respuesta ms eficaz y eficiente del
proceso de seguridad en la tecnologa y el logro de su objetivo final sin demora
indebida.
Sin embargo, las arquitecturas de seguridad y tecnologa no slo dependen de
los objetivos de negocio, sino tambin en la arquitectura de la informacin
general. La informacin fluye de un punto de la empresa a otro debe ser
considerado en detalle. Adems, el almacenamiento y recuperacin de
informacin son una parte intrnseca de la arquitectura de seguridad.
Los conceptos y consideraciones de arquitectura de los edificios tambin deben
ser incluidos en los aspectos de seguridad de una arquitectura empresarial.
Estos incluyen elementos tales como la capacidad de expansin (escalabilidad)
y utilidad para una variedad de propsitos (adaptabilidad). Arquitectura de la
empresa debe incluir y permitir:
Espacio para la evolucin y mejora.- La arquitectura debe tener en cuenta
los inevitables cambios en la organizacin y sus actividades, as como para
las actualizaciones y mejoras en el tiempo. Adems, cuando la tecnologa
ofrece nuevas posibilidades, la arquitectura va a alimentar al diseo y la
estrategia de la organizacin para proporcionar el incentivo para una
evolucin que pueden haber sido puesto en un estado de espera, tanto a
nivel conceptual y lgica.
Espacio para la reaccin a los cambios en el contexto.- El contexto es el
panorama de los negocios dentro del cual opera la arquitectura. El contexto
cambiar inevitablemente. Adaptacin, flexibilidad y robustez son atributos
que deben ser considerados e incluidos en las actividades de diseo.
Arquitectura asegura que la tecnologa se resisten a los cambios, al igual
que un edificio es resistente a los ataques o terremotos. Si la arquitectura
puede alimentar Organizacin con algunas caractersticas especficas de la
tecnologa para apoyar o ser ms fuerte de los eventos, esto mejorar la
capacidad de reaccin de la empresa para seguir las propuestas, necesarias
o impuestas (por ejemplo, debido a la crisis) cambios.
Aptitud para implementaciones de propsito-tecnologa a menudo no
cumplen con los requerimientos del negocio porque el contexto no se
entendi o fue ignorada. Al igual que la construccin de la arquitectura
debe considerar si es para ser utilizado como una iglesia o una planta de
conservas de atn, arquitectura de la empresa debe entender claramente
los objetivos de negocio que la tecnologa va a usar para lograr. Cuanto
ms tecnologa es adecuado para el propsito, mayor ser la probabilidad
de que los objetivos de seguridad del negocio sern apoyados / habilitado
por una tecnologa apropiada.
Eficacia y eficiencia.- La eficacia y la eficiencia en seguridad de la
informacin requieren relacionados con estar equipados con los indicadores

que miden el estado y el logro de los objetivos previstos. Los costos

asociados con el uso de la tecnologa de seguridad tambin son tenidos en
cuenta por la arquitectura: adquisicin, implementacin, operacin,
monitoreo, mantenimiento y gestin. El costo es un conjunto combinado de
todos los recursos involucrados: finanzas, tiempo y personal.
Coherencia con las polticas y normas.- Arquitectura debe articular la
poltica, adems de hacer frente a los requerimientos del negocio.
Arquitectura asegura que la tecnologa sigue siendo coherente con las
polticas y normas, y ayuda a mantener actualizadas las soluciones de
tecnologa a travs de la habilitacin y de apoyo DI. Si las soluciones de
tecnologa eran para impedir o dificultar la consecucin de los objetivos de
las polticas y normas, esto creara un problema grave de esa organizacin
tendra que resolver. Convergencia, coherencia y consistencia entre todos
los componentes de seguridad (los otros tres elementos y los otros cinco
DIS) son objetivos fundamentales para garantizar la eficacia y eficiencia del
plan de seguridad y su gestin.
Capacidad de mantenimiento y diseo-usabilidad.- Bueno debe tener en
cuenta cmo se desarrollan y se mantienen con el tiempo los sistemas.
Tecnologa, si no es modificada, envejecer rpidamente y se convierten en
obsoletos. Como resultado, el mantenimiento debe ser planificada en la
arquitectura de DI. Despus de un perodo determinado de tiempo, tanto el
mantenimiento preventivo (para evitar la degradacin y obsolescencia) y
mantenimiento ad hoc (en situaciones imprevistas) se requiere para
desarrollar adecuadamente el elemento de Tecnologa.
Dado que la tecnologa debe seguir siendo til y fcil de usar para que la
gente no se vea obstaculizados en su seguridad del da a da de las
actividades de la Arquitectura DI debe asegurar que el progreso est
integrado en el sistema para adaptarse a las demandas cambiantes.
En BMIS, la arquitectura es el DI entre Organizacin y Tecnologa. La
interaccin entre estos elementos es bidireccional, cada influir en la otra. El
diseo de la organizacin y su estrategia de negocios proporcionan los
controladores y las restricciones a travs de la DI Arquitectura de TI y
ambiente de la operacin fsica. stas incluyen:
La arquitectura debe asegurar que el progreso est integrado en el sistema
para adaptarse a las demandas cambiantes.
Tamao.- El alcance y la Carta de seguridad de la tecnologa son
funciones de diseo de la organizacin y la estrategia empresarial.
En seguridad, tamao representa la parte o proporcin que cada
tecnologa proporcionar en el logro de los objetivos de seguridad
mientras que la corriente restante.
Capacidad (esttica y dinmica).- Capacidad en explotacin de
las soluciones de tecnologa es una importante funcin de los
requisitos de seguridad del negocio. La planificacin de capacidad
para operaciones futuras es, a su vez, en funcin de la estrategia de

negocio y las necesidades previstas. Esto se refiere a la planificacin

de capacidad fsica y planificacin de la capacidad lgica.
Roles y responsabilidades.- Roles, responsabilidades y
actividades operacionales se definen en la arquitectura como una
funcin del diseo de la organizacin y los requisitos de negocio
anticipados. La tecnologa tambin debe garantizar que la seguridad
de informacin apoya la segregacin de informacin cuando y donde
sea necesario, de modo que los roles y funciones de negocio no son
contradictorias.
Centralizado y descentralizado de operaciones.- Arquitectura
debe tener en cuenta la forma y la estructura de la organizacin
general. En trminos de seguridad, (jerrquicos) estructuras
centralizadas varan significativamente de las estructuras
organizativas descentralizadas (planos) y requieren una arquitectura
de seguridad diferente.
Las soluciones tecnolgicas aplicadas debern seguir los requerimientos
del negocio. Esto incluye la cubicacin fsica, el trabajo descentralizado y
el teletrabajo, y los grupos de anuncios especiales de trabajo que se
forman a intervalos poco frecuentes. La infraestructura de enrutamiento y
cortafuegos es un buen ejemplo: en una estructura organizativa
fuertemente descentralizado, hay una necesidad ms apremiante de
flexibilidad en la conmutacin, enrutamiento y cortafuegos.
Por el contrario, la tecnologa de seguridad puede permitir la
centralizacin de las operaciones seguras, incluso cuando las ubicaciones
fsicas estn geogrficamente distribuidas, a veces en diferentes pases o
en otros continentes. Los ejemplos de una estrategia de centralizacin
virtual se expresa en la arquitectura de seguridad son redes privadas
virtuales (VPN) a travs de redes de rea amplia (WAN) o redes pblicas,
videoconferencias seguras, y darknets seguras.
Calidad y seguridad de las necesidades de la arquitectura
organizacional determina el nivel mnimo requerido de calidad de los
servicios de seguridad (QoSS) y los parmetros de diseo de los
controles de seguridad, incluida la poltica. El elemento de
organizacin identifica los niveles deseados de calidad sobre la base
de los requerimientos del negocio y los objetivos de seguridad, que
luego se reflejan en soluciones tecnolgicas. Una vez ms, la
arquitectura se traduce objetivos de la organizacin en la tecnologa
de "derecho", y se informa a la tecnologa en trminos de la calidad
de servicio requerida.
El elemento de tecnologa debe proporcionar informacin e influir en el
elemento organizacin en forma de medidas y mtricas. Algunos de los
principales factores que influyen en el diseo y la estrategia de la
organizacin incluyen:
Costo y valor.- Cul es el costo (adquisicin, implementacin,
operacin, administracin, mantenimiento) de la tecnologa de
seguridad? Cul es el valor aadido de la tecnologa de seguridad

de la informacin a la empresa para permitir que los objetivos

fijados?
Capacidad.- Es la tecnologa capaz de proporcionar el servicio de
seguridad requerida? Cuando ser eso posible? Qu se puede hacer
para reducir el tiempo para lograr la plena capacidad?
Agilidad.- Ser gil la Tecnologa y lo suficientemente verstil
como para seguir las cambiantes demandas de seguridad de la
organizacin, procesos y personas? A qu velocidad debera ocurrir
estos cambios? Hay ventanas de tiempo en la vida til de las
soluciones de tecnologa cuando los cambios sern ms difcil o ms
fcil de lograr?
Disponibilidad.- Los negocios requieren conectividad y la
disponibilidad constante de informacin. Mientras que la seguridad
tiene la responsabilidad de proteger la informacin, sino que
tambin tiene la responsabilidad de asegurar que la informacin
est disponible para todos los que obtengan el acceso cuando lo
necesitan. Cmo puede la tecnologa para brindar soluciones para
permitir la interconexin segura, donde y cuando sea necesario?
Qu concesiones de seguridad se puede aceptar, en su caso?.
Complejidad.- Tecnologa de comunicacin-informacin y no
siempre se utilizan las soluciones estndar, creando as la
complejidad. Existe un problema similar en el entorno fsico del otro
lado de la tecnologa, cuando la descentralizacin o adquisiciones
requieren el uso de varios edificios con soluciones de seguridad
divergentes. La Arquitectura DI proporciona el vnculo entre lo que la
fusin o adquisicin de los organismos que figuran como sus
objetivos, y la integracin de tecnologas divergentes que se pueden
encontrar en los objetivos.
Las necesidades de espacio y energa.- Requisitos-Tecnologa
controlan espacio y la energa suficiente para hacer funcionar. Esto
es con frecuencia una carga cuando hay una necesidad de aumentar
el tamao y la capacidad de la TI. En trminos de seguridad, el
medio ambiente fsico crea una serie de problemas -por ejemplo,
donde hay enlaces a las infraestructuras pblicas o cuando la
instalacin de seguridad depende de los servicios externos.
Un ejemplo es la frecuente falta de energa elctrica (voltaje) que a
menudo restringe las operaciones del centro de datos. Del mismo modo, el
acoplamiento de seguridad de TI puro con entre la tecnologa como la
gestin de las instalaciones, las instalaciones de bus de campo o de
climatizacin a menudo crean la necesidad de medidas de seguridad
especficas.
Consideraciones de Arquitectura.- Estos incluyen cmo
reacciona un organizacin para dirigir los cambios tecnolgicos o de
los cambios tecnolgicos indirectos causados por el ambiente
externo.
La arquitectura debe transmitir de manera proactiva cualquier informacin
sobre los cambios tecnolgicos directos al elemento organizacin, tanto en
trminos de lo que el cambio es y lo que significa el cambio para el

negocio. Del mismo modo, la arquitectura debe informar a la organizacin

sobre los cambios indirectos que pueden ser provocados por el entorno de
la empresa, tales como actualizaciones importantes o liberar los cambios
en las aplicaciones clave. Seguridad de la informacin depende de la
informacin peridica y precisa que se origina en el elemento de
Tecnologa y se procesa dentro del elemento de organizacin, lo que
conduce a decisiones informadas.
Arquitectura y consideraciones de riesgo.- Mientras que las
personas, procesos y tecnologa durante mucho tiempo han sido
aceptados como la trada de gestin de TI, hay muchos riesgos de
seguridad que se derivan de da a da imperfecciones, defectos y
errores en el sistema global. Como la mayora de los sistemas no
siempre se ejecutan en modo 'impecable', la arquitectura de
seguridad debe ser lo suficientemente flexible para dar cabida a las
anomalas, incidencias y errores. Algunos de los temas abordados
menos que deben ser tomados en cuenta en la evaluacin del riesgo
son retrasos inherentes a la tecnologa, la incapacidad de la
tecnologa para aplicar plenamente los objetivos de seguridad y los
requisitos de la tecnologa adecuada para albergar y realizar
actividades de negocio y procesos de seguridad sin dejar de ser fcil
de usar.
La arquitectura de seguridad.- Este ofrece una relacin de
equilibrio entre los elementos fuertemente opuestos y la interaccin
de los elementos en conflicto, y sirve como un dispositivo para
regular la tirantez entre el gobierno, la arquitectura y la tecnologa
de las operaciones de una organizacin. La arquitectura debe
permitir a la organizacin para entender el equilibrio entre la
tecnologa de seguridad demasiado y demasiado poco de ella. Como
una tarea secundaria, la arquitectura de seguridad es el factor
decisivo en el equilibrio de "tirantez", es decir, la capacidad de
respuesta de la toma de decisiones de la organizacin a los cambios
tecnolgicos y viceversa.

Habilitacin y Soporte
La habilitacin y de apoyo DI conecta los elementos de proceso y de
tecnologa. En trminos de BMIS, es la interconexin dinmica a travs de la
que la tecnologa permite proceso, y el proceso a su vez soporta la
implementacin y el funcionamiento de la tecnologa, como se muestra en la
figura 12.

A medida que la habilitacin y de apoyo DI es el rea que demuestra un

proceso equilibrado para apoyar la tecnologa de la empresa en una direccin y
mostrar la tecnologa de efecto tiene sobre los procesos de negocio en la otra
direccin, es til examinar algunos ejemplos.
Hay un montn de ejemplos para ilustrar el hecho de que, en ausencia de un
proceso equilibrado que soporta la tecnologa, soluciones de TI no cumplen con
los objetivos de negocio y convertirse en pasivos. Para reconocer los problemas
antes de que salgan a la superficie, algunas medidas policacas '' deben estar
en su lugar. Sin embargo, en un subsistema DI Habilitacin dbil y soporte
tcnico, es probable que se ausente o ineficaces estas medidas de apoyo.
Una fuerte habilitacin y de apoyo DI debe tener en cuenta:

Los procesos de equilibrado y rpido ajuste a un nuevo estado de

equilibrio
El cumplimiento de las normas apropiadas
El uso de controles apropiados
Un fuerte enfoque de seguridad
El reconocimiento de los requisitos de cumplimiento

Lo ms importante, el sistema DI habilitacin y de apoyo tiene que generar el

deseado retorno de la inversin (ROI) y cumplir con los objetivos de negocio.
Con la mayora de las empresas que van a travs de numerosas auditoras y el
cumplimiento revisa anualmente, la dependencia tiende a estar en esas
auditoras y revisiones dirigidas a la eficacia de los procesos y la seguridad de
infraestructura de TI. Que la confianza no est fuera de lugar, pero las
organizaciones deben mirar ms all de las auditoras y revisiones de

cumplimiento y hacer un balance de sus procesos en torno al uso de la

tecnologa.
Esto significa que las organizaciones deben primero entender la relacin entre
el proceso y los elementos de la tecnologa. Este DI ha sido nombrado
habilitacin y de apoyo en BMIS con la opinin de que el proceso permite la
tecnologa y la tecnologa es compatible con el proceso de negocio.
Tecnologa necesita ser seleccionado, evaluado, ejecutado y controlado. Los
procesos tienen que ser diseado, desarrollado, implementado y utilizado. La
dificultad que la mayora de las organizaciones luchan con no es la falta de
tecnologa; procesos son a menudo insuficientemente habilitados con la
tecnologa existente, mientras que la abundancia de la tecnologa dentro de
cualquier organizacin es apoyada de manera inadecuada por los procesos
existentes.
Muchas organizaciones se centran ms en la tecnologa misma que en la
comprensin de los procesos de negocio que la tecnologa permitir. Su punto
de vista de la tecnologa es lineal, como se ilustra en la figura 13.

Este mapa de proceso es lineal y secuencial, sin bucle de realimentacin o

hacer 'en off'. Una vez que la tecnologa se adquiere, la organizacin general
utiliza el soporte del proveedor para su implementacin. Las organizaciones a
veces reducen o eliminan el soporte del proveedor sin necesidad de un proceso
de repliegue en su lugar. La transferencia de conocimientos y la documentacin
se ignoran en favor de la fijacin de los problemas y hacer que la tecnologa
funcione en un modo prctico. En el pensamiento sistmico, el modelo lineal no
resuelve ninguno de los problemas que surgen de la implementacin de la
tecnologa secuencial y mantenimiento. Como consecuencia de ello, la forma
de pensar BMIS favorece un bucle, como se representa en la figura 14.

El bucle permite volver a los pasos anteriores segn sea necesario para
adaptarse sistmicamente cualquiera de las etapas del ciclo. Por ejemplo, si la
solucin tecnolgica parece poco claro o poco definido, la solucin de negocio
se revisa para asegurar la alineacin. Si la solucin de negocio no es clara o
plantea preguntas, puede que sea necesario volver a los requisitos de servicio
originales formulados o incluso a los requisitos de negocio globales. Sin
embargo, esto no es una secuencia paso a paso como se muestra en la figura
13. Es sistmica en que ningn paso en el bucle est siempre 'completado',
pero todas las medidas interactuar en el ciclo global y puede cambiar las
soluciones de tecnologa y su despliegue.
Cuando la seleccin y la implementacin de la tecnologa son parte de la
implementacin de una solucin de negocio, hay un proceso cclico que
permite a los componentes de la solucin adecuados para desempear un
papel. BMIS ayuda a asegurar una visin integral y equilibrada de la
habilitacin de la tecnologa. El modelo no aboga por la tecnologa del estado
de la tcnica o la automatizacin completa, sino que se centra en la
habilitacin de la empresa mediante el uso de la tecnologa.
Los procesos son formas de lograr los objetivos. Sin objetivos, procesos no son
medibles y son de poca utilidad. Lo mismo se aplica a la tecnologa (el objeto),
que no tiene valor si no permite a la organizacin a alcanzar sus objetivos en la
aplicacin de su estrategia (incluso si esta estrategia evoluciona).
De ello se desprende que existe una co-dependencia entre la tecnologa de los
elementos de proceso y que hace que sea difcil aislar una de la otra. La
habilitacin y de apoyo DI es una relacin bidireccional estrechamente
acoplado que puede ser entendido slo cuando se aplican los tres
componentes bsicos de los sistemas de pensamiento (retroalimentacin, el
equilibrio y el retraso), como se describe ms adelante en esta seccin.
TI dentro de una empresa
En su artculo Integracin de la informacin del sistema, Wilhelm Hasselbring
describe la fragmentacin de los sistemas de informacin dentro de las
empresas. Segn los investigadores, la mayora de los fallos de seguridad no
son consecuencia de la falta de normas y tecnologas, sino de una falta de
enfoque en la utilizacin de manera adecuada para el beneficio de toda la
organizacin. Tras el descubrimiento de un fallo de seguridad, debido a un
incidente o como el resultado de una auditora en las organizaciones correr
para arreglar la falla, a veces sin entender la causa raz o correlacionarla con
defectos similares descubiertos antes.
Ejemplo
Si un archivo que contiene los nmeros de EE.UU. Seguro Social (SSN) se enva
sin cifrar y en contra de la poltica de la organizacin, lo ms probable es que la
organizacin va a establecer una nueva prctica y pide a sus empleados para
cifrar los archivos, porque esa es la prctica comn hoy en da.

Si bien esto puede funcionar en algunos casos, tiene sus propios defectos ya
que las personas no siempre siguen el proceso y la posibilidad de que los
nmeros de seguro social podran ser enviados en el claro que seguira
existiendo. Adems, puede haber otros modos de transferencia de datos,
cuando se transmiten en texto claro. Obviamente, la cuestin ser entonces
mucho ms amplio que la seguridad del correo electrnico. Por lo tanto, las
organizaciones deben tener en cuenta un enfoque diferente para resolver
problemas y desarrollar soluciones, que BMIS proporciona.
En el ejemplo anterior, el enfoque de los sistemas de BMIS har que la
organizacin a tomar en cuenta otros factores antes de decidirse por 'la
solucin'. Por ejemplo, una organizacin que se adhiere a los conceptos de
BMIS puede considerar las siguientes preguntas:

Antes de implementar el cifrado de correo electrnico, son procesos

bien definidos y estrictamente seguidos?. Si no es as, cul es la
probabilidad de que el nuevo proceso (para cifrar archivos) le
seguir segn lo previsto?
Son las personas / recursos disponibles para ayudar a responder
preguntas o resolver problemas como resultado de este nuevo
proceso? Los empleados educados en la proteccin de la
informacin sensible? Comprenden por qu esta informacin debe
ser protegida?
Es la tecnologa de codificacin propuesta fcil de usar? Se
requiere una gran cantidad de intervencin manual?

Desde un punto de vista organizativo, otras preguntas se les pueden pedir:

Es esta la mejor solucin? La mejor solucin costo? Es una
solucin a corto o largo plazo? Cules son las alternativas? Qu
problemas similares se han encontrado? Qu problemas se
presente futuro? Cul es el costo de cumplimiento? Cmo
reaccionan los clientes a la solucin?
Las preguntas de los cuatro puntos anteriores representan los elementos de
BMIS. Rompiendo las preguntas abajo por el elemento de ayuda a lograr
una solucin equilibrada mediante el anlisis de las respuestas an ms
en el contexto de las dimensiones de BMIS:
Los procesos estn bien definidos; Sin embargo, la organizacin
carece de la gente entrenada para apoyarlos.
El cifrado se ha intentado antes; Sin embargo, la cultura de la
organizacin tiende a ser muy informal y la gente enviar correo
electrnico sin cifrar cuando piensan que pueden "confianza" a la
otra parte.
Por lo tanto BMIS mejora la capacidad de una organizacin para relacionar los
factores crticos de influencia, y que la organizacin considera Cultura,
Arquitectura, Factores Humanos, Administracin y habilitacin y de apoyo
problemas, la administracin puede decidir eliminar (mscara) SSN a partir de
extractos de archivos, eliminando as el riesgo por completo.

Como la mayora de los sistemas de informacin tienden a ser autnomo y

operan dentro de sus propios silos, el proceso de retroalimentacin, o bien no
existe o existe en una capa que no filtra hasta el nivel de habilitacin y de
apoyo. La figura 15 muestra el funcionamiento de la mayora de las
organizaciones.
Estas unidades organizativas en silos tienden a centrarse ms en la
arquitectura tcnica que en la estructura, como se ha descrito anteriormente
en esta seccin. Esta es una de las causas subyacentes de la no utilizacin de
la tecnologa para satisfacer los objetivos de negocio.
Sin embargo, si las organizaciones permiten la integracin de silos, un
resultado diferente se puede observar (figura 16).
Es evidente que los procesos organizacionales integrados podran conducir a
mejores resultados que permitan, as como para un mejor apoyo.
Integracin de las unidades de organizacin no es una tarea trivial. Cuando una
organizacin reconoce una deficiente y un entorno de apoyo DI, tiende a
centrarse en uno o ms de los siguientes factores o recursos:
Tecnologa.-Tecnologa-actual no permite el cumplimiento de los
objetivos de negocio; por lo tanto, las nuevas inversiones se
deben hacer para adquirir la tecnologa ms reciente.
Las personas.- Hay una falta de capacidades de gestin, los
recursos humanos, conocimientos, motivacin o compromiso.
Cultura.- Histricamente, esto es cmo las cosas han
funcionado, por lo que no se puede cambiar.

En muchas culturas organizacionales, destacando las personas a evitar

problemas hasta que suceda algo drstico. Aqu es donde BMIS, con su enfoque
de sistemas, ayuda. Identificar y centrarse en todos los factores que pueden
contribuir al problema puede dar lugar a planes de accin que no slo ayuda a
resolver el problema, sino tambin establecer una hoja de ruta para la
implementacin de una infraestructura efectiva de forma proactiva DI Soporte
Activacin y. Esta hoja de ruta ser diferente de una organizacin a otra, pero
es probable que tenga los componentes clave que se muestran en la figura 17.

Los
componentes clave de la infraestructura DI habilitacin y de apoyo
son:

 La tecnologa de negocios de alto nivel.- Los objetivos de la

informacin es un habilitador de negocios, ya que ayuda a reducir
los costos de operacin, mejora la productividad y genera un nuevo
crecimiento. La implementacin de un sistema de contabilidad o
plan de marketing nuevo, no es probable que genere crecimiento a
largo plazo o reducir los costos a travs de toda la organizacin. Las
empresas deben fomentar las iniciativas de toda la empresa, para
lograr los objetivos de negocio generales amplias, tales como la
reduccin de costos, que es el objetivo final alcanzado por la
habilitacin y de apoyo DI.
Los requisitos de negocio detallado.- Son el conjunto detallado
de las solicitudes de negocios que el sistema debe cumplir para ser
exitoso. Los requisitos de negocio deben recogerse sin hacer
referencia a la tecnologa. Reuniendo los requisitos de negocio es
una actividad crtica, incluso si el enfoque del proyecto es una
actualizacin de la tecnologa o de actualizacin.
Arquitectura empresarial y de procesos marcos.- Los planes y
objetivos de la tecnologa deben alinearse con los planes y objetivos
de la organizacin. Para que eso ocurra, las reas y los procesos
funcionales clave, junto con sus necesidades de intercambio de
informacin y servicios de consumo / entrega, tienen que estar
alineados e integrados. El vehculo de lograr esto es arquitectura de
la empresa.
Segn P. Baltzan y A. Phillips, 'compaas que construyen una base para su
ejecucin deben utilizar su arquitectura empresarial como una brjula, la
direccin de la empresa hacia su modelo operativo aceptable'.
Procesos arquitectnicos de la empresa garantizan una integracin vertical
y horizontal, siempre que el negocio de requisitos detallados han sido
considerados y documentados. Un buen ejemplo es el proceso de
identificacin y autenticacin dentro de una organizacin. A menos que la
solucin tecnolgica Identidad Access Management (IAM) est integrado en
todas las partes del BMIS, el resultado ser incompleta y vulnerables ya que
los empleados que han dejado la organizacin todava ser capaz de
acceder a informacin crtica en un problema perenne. Sin embargo, no hay
pruebas suficientes para demostrar que muchas organizaciones han
comprado la tecnologa sin tener en cuenta el punto de vista general de la
organizacin. Por otra parte, no se ha considerado la integracin de esta
tecnologa desde una perspectiva de apoyo, como quien va a manejar las
llamadas de los usuarios en busca de ayuda o cmo la tecnologa se
integrar con los sistemas heredados. Con demasiada frecuencia, las
organizaciones escuchar al vendedor y asumen que el producto est de
alguna manera entender y satisfacer sus necesidades fuera de la caja.
Tener grupos de trabajo internacionales.- Grupos de trabajo
multi-funcionales que supervisan los puntos mencionados en los tres
puntos anteriores es esencial para establecer una estructura de
soporte y DI Activacin exitosa. En lugar de una o dos personas

tratando de comprender toda la empresa, es aconsejable que los

miembros de varias unidades de la organizacin se renen para
establecer los objetivos de negocio, entender los requisitos de
negocio y desarrollar una arquitectura empresarial. Incluso en una
situacin en la que existe este tipo de arquitectura, pero no es
eficaz, es fundamental para establecer un grupo de trabajo
multidisciplinario a fin de diagnosticar el problema y recomendar
una solucin.
Hay otras razones para crear equipos multi-funcionales. Un fuerte
Activacin y DI apoyo que incorpora puntos de vista
multidisciplinares contribuye a una mayor seguridad mediante la
eliminacin de redundancias y expansin de esta comunicacin. Hay
otro aspecto que tambin debe tenerse en cuenta:
Las computadoras tienen para interactuar con los usuarios de alguna manera,
en algn momento, por alguna razn. Y esta interaccin es el mayor riesgo
para la seguridad de todos ellos..
Equipos multi-funcionales.- Pueden proporcionar una valiosa contribucin al
proceso de gestin del riesgo empresarial mediante el intercambio de sus
propias experiencias, tanto buenas como malas. Por ejemplo, la gente como el
hecho de que es posible que no tenga que introducir contraseas en todas las
pantallas que entran. Habilitacin y Soporte DI seguridad de los sistemas de
crianza de la tecnologa, mientras que los procesos de mantenimiento de fcil
uso (por ejemplo, mediante la introduccin de un nico mecanismo de inicio de
sesin). Los factores humanos son un ingrediente esencial de los sistemas de
habilitacin y de apoyo
Aparicin
Al or el trmino "emergencia", conceptos que vienen a la mente pueden incluir
superficies, desarrollo o evolucin. En los modelos anteriores de negocios que
podra haber sido llamada 'mejora continua'. Peter Senge llama a este
"aprendizaje". Otra definicin de emergencia es "el surgimiento de nuevas y
coherentes estructuras, patrones y propiedades durante el proceso de autoorganizacin en sistemas complejos '. En BMIS, la emergencia puede ser visto
como el surgimiento de nuevas oportunidades de negocio, nuevos
comportamientos, nuevos procesos y otros elementos relevantes para la
seguridad, como los subsistemas entre las personas y los procesos evolucionan
(figura 18). El aspecto de "aprendizaje" se deriva del hecho de que incluso los
sistemas aparentemente caticos, como en bastantes nuevas organizaciones o
situaciones imprevistas, tienden a desarrollar algn tipo de orden. Aparicin en
la biologa y la ciberntica veces crea 'orden en el caos' de una manera
impredecible.
Aparicin como tal no siempre seal de mejoras en trminos de seguridad.
Como espontneas nuevas formas de hacer las cosas emergen dentro de una
organizacin, pueden ser positivos o negativos. Por ejemplo, el
comportamiento habitual que va en contra de las polticas y normas puede
evolucionar con el tiempo. Del mismo modo, el nivel de seguridad puede

mejorar a travs de un acuerdo tcito de las personas sobre cmo manejar los
nuevos sistemas o aplicaciones. La forma en que las personas (como un
elemento BMIS) interactan con los procesos a menudo se caracteriza por la
aparicin, por lo que es una muy poderosa DI. Es un rea que se ocupa de la
ambigedad y la evolucin y, si se gestiona bien, puede mejorar la capacidad
de la empresa para adaptarse a los cambios, sobrevivir un acontecimiento
imprevisto e innovar.

Aparici
n comprensin
La naturaleza humana dicta que la ejecucin de procesos por personas dentro
de una empresa vara en el tiempo y cada vez que se ejecuta un proceso. Un
proceso en s mismo puede estar bien definida, pero su resultado puede ser
diferente cada vez que se ejecuta. Esto significa que slo parte del proceso es
predecible, mientras que otras partes pueden tener un elemento de
coincidencia. Para poder entender el impacto de este hecho en la seguridad de
la informacin, la ejecucin de un proceso por la gente se subdivide en las
siguientes categoras:
Procedimiento escrito-basado en la ejecucin de tareas basado en el
flujo especfico de las acciones definidas en un procedimiento oficial.
Basado en polticas, la ejecucin de tareas basado en la traduccin
de las reglas de la poltica de seguridad de la empresa.
Ad hoc-La ejecucin de las tareas de una manera aleatoria, no
cubierta por una regla de procedimiento o poltica.
Cada categora de ejecucin contiene diferentes elementos de
incertidumbre introducida por las caractersticas bsicas de la naturalezahumana la capacidad de pensar, decidir y reaccionar en diferentes
situaciones:

 Procedimiento basado en las personas.- Escrito puede o no puede

cumplir con un procedimiento; se pueden cometer errores cuando se
sigue un procedimiento o entenderlo mal. El procedimiento en s
mismo puede no ser adecuada para cubrir todas las situaciones
posibles, o puede ser muy difcil y confuso a seguir. En algunos
casos, varias personas pueden decidir, sin saber lo que hacen los
dems, para interpretar los procedimientos escritos de una manera
similar. Como resultado, una nueva manera de manejar el
procedimiento emerge.
Reglas basadas en polticas.- Son ms generales que un flujo de
procedimientos especficos. Ellos pueden ser traducidos de manera
diferente en distintas situaciones, mal traducidos o ignorados. Las
reglas pueden ser demasiado estricta o demasiado general, siendo
en consecuencia inaplicable en situaciones crticas en el tiempo o
proporcionar demasiadas alternativas, por tanto, no sirviendo al
alcance de la seguridad de la informacin.
Ad hoc.- La incertidumbre se maximiza cuando las personas no
tienen instrucciones de seguir los procedimientos o normas para la
ejecucin de procesos ya que el comportamiento no se coloca en un
marco especfico.
El concepto de emergencia viene de muchos campos diferentes, incluyendo la
teora de sistemas, teora de juegos y la naturaleza misma. La teora del caos
tambin explica el concepto de emergencia hasta cierto punto. En el caos o
situaciones descentralizadas o sin lder, algn tipo de orden puede emerger o
la superficie de una manera aparentemente espontnea y sin causa obvia. Del
mismo modo, las personas pueden decidir individualmente para adoptar
nuevas tecnologas o procesos, por ejemplo, cuando se usaban en el domicilio
de una manera diferente a la forma en que se utiliza en el lugar de trabajo. La
motivacin para la gente de esta aplicacin podra estar en factores humanos y
la comodidad de uso o en un fondo cultural que influye en su comportamiento.
En BMIS, Aparicin es el DI entre las personas y los elementos de proceso. Sin
embargo, nada de lo que la gente piensa o lo hacen deben tener en cuenta las
otras DI que influyen en la gente: Factores Humanos y Cultura.
Emergencia, como un proceso de aprendizaje, es fundamental para la
seguridad de la informacin, ya que ayuda en la comprensin de los requisitos
para la configuracin de estrategias eficaces de seguridad que se ajustan al
comportamiento de la empresa en su conjunto. Esto ayuda en la
personalizacin, mejora y ampliacin de los procedimientos y normas de
seguridad para traer seguridad de la informacin de la teora a la prctica. Es
un proceso que consume tiempo y requiere un entorno de libre expresin en el
que las personas son capaces de proporcionar retroalimentacin que
contribuye a hacer de la seguridad un habilitador de negocios que no impida el
desempeo, sino que ayuda a organizar mejor la ejecucin de los procesos.
Para asegurar una fuerte seguridad en las organizaciones, tiene que haber un
nivel de preparacin y un clima de 'haber cubierto todas las bases en trminos
de las personas, organizacin, procesos y elementos de tecnologa. El sistema

de recompensas e incentivos no debe favorecer slo a la conservacin de los

procesos antiguos, sino tambin fomentar activamente el desarrollo de nuevos
procesos y formas de hacer las cosas y la identificacin de los problemas antes
de que surjan en la prctica.
Un fuerte habilitacin y de apoyo DI que incorpora puntos de vista
multidisciplinares contribuye a una mayor seguridad mediante la eliminacin
de redundancias y expansin de esta comunicacin.
La emergencia puede ser clasificado como positivo o negativo. Surgimiento
positivo est relacionado con el proceso de aprendizaje para la comprensin de
las necesidades de seguridad y mejorar la seguridad de la informacin.
Surgimiento negativo se relaciona con el aumento de fenmenos inexplicables
de incidentes de seguridad y la falta de alineacin entre los objetivos de
seguridad de la informacin y de negocios.
Por lo tanto, la aparicin DI introduce un elemento de evolucin y se adapta a
los cambios, a veces inesperados, o incluso impredecibles, que se producen en
los negocios del da a da. Como concepto, permite anticipar ms asuntos que
tales cambios e integrarlos en el sistema de seguridad global y sus
subsistemas.
Factores humanos
Los factores humanos es la DI que conecta los elementos de Personas y
Tecnologa. Los factores humanos es un campo ampliamente documentado que
cubre muchas reas, tales como las de:
Ciencias de la comprensin de las propiedades de la capacidad
humana, la ergonoma y los lmites de las capacidades humanas
La aplicacin de este conocimiento al diseo, desarrollo y despliegue
de tecnologas y servicios
Arte de asegurar la aplicacin con xito de la ingeniera de factores
humanos a un programa.
Los factores humanos DI (figura 19) se ha referido como la interaccin personaordenador (HCI), la interfaz hombre-mquina y la ergonoma. En la prctica,
gran parte del trabajo en la facilidad de uso y facilidad de uso se refiere a esta
DI.

Factores
Humanos DI tambin incluye el estudio de cmo los seres humanos interactan
con la tecnologa y el desarrollo de herramientas que faciliten la consecucin
de los objetivos especficos-en este caso, los objetivos de seguridad de la
informacin. Dentro BMIS, factores humanos DI interacta con las personas y
elementos de tecnologa. Esta relacin se deduce del hecho de que las
deficiencias en materia de seguridad pueden ocurrir fcilmente debido a la
forma en que las personas usan la tecnologa y su comprensin de la necesidad
y la adhesin a los conceptos de seguridad. Del mismo modo, la tecnologa
como un elemento puede mejorar enormemente la calidad del trabajo y la
manera en que las personas a realizar sus tareas.
En general, los tres objetivos principales dentro del DI factores humanos se
relacionan con el operador humano (cuerpo y mente) y los sistemas
circundantes que interactan con el usuario humano. Para entender y manejar
la tensin en este DI, el primer paso es diagnosticar o identificar los problemas
y las deficiencias en la interaccin hombre-sistema de un sistema de seguridad
existente. Posteriormente, hay cinco enfoques diferentes que pueden ser
utilizados para introducir mejoras:

Diseo con cambios en el equipo de la naturaleza del equipo fsico

con el trabajo que los humanos
Equipo de diseo se centra ms en el cambio de lo que hacen los
operadores en el cambio de los dispositivos que utilizan. Esto puede
implicar la asignacin de parte o la totalidad de las tareas a otros
trabajadores o los componentes automatizados.
Diseo de implementos Ambientales cambios como mejorar la
iluminacin, control de temperatura y reducir el ruido en el entorno
fsico en el que la tarea se lleva a cabo

Formacin de los individuos, mejor prepara a los empleados para

los retos que se encontrarn en el entorno de trabajo mediante la
enseanza y la prctica de las habilidades fsicas o mentales
necesarias
Seleccin de los individuos Una tcnica que reconoce las
diferencias individuales entre los seres humanos en todas sus
dimensiones fsica y mental que es relevante para un buen
rendimiento del sistema. Dicho rendimiento puede optimizarse
mediante la seleccin de los operadores que poseen el mejor perfil
de habilidades para el trabajo y el fortalecimiento selectivamente
ciertas habilidades entre los equipos.

El modelo simple de personas-Tecnologa consiste en una persona que

interacta con una "mquina" en algn tipo de medio ambiente. La persona y
la mquina / medio ambiente son tanto el modelo como dispositivos de
procesamiento de informacin, cada uno con entradas, salidas y procesamiento
central. Las entradas de una persona son los sentidos (por ejemplo, los ojos, los
odos) y las salidas son efectores (por ejemplo, manos, voz). Las entradas de
una mquina son dispositivos de control de entrada (por ejemplo, teclado,
ratn) y las salidas son dispositivos de salida de la pantalla (por ejemplo,
pantalla, alertas de voz).
El medio ambiente puede ser caracterizado fsicamente (por ejemplo, la
temperatura ambiente, el ruido, ambiente cerrado), cognitiva (por ejemplo, la
presin del tiempo, la conciencia y la comprensin, el riesgo) y / o el punto de
vista organizativo (por ejemplo, la estructura organizativa, participacin de la
administracin). Esto proporciona una manera conveniente para la
organizacin de algunas de las principales preocupaciones de la ingeniera de
factor humano: la seleccin y diseo de pantallas y controles de la mquina; la
distribucin y el diseo de los lugares de trabajo; disear para el
mantenimiento; el diseo del ambiente de trabajo y, en particular, la
infraestructura de seguridad.
Como un ejemplo, la conduccin de un vehculo es un ejemplo conocido de un
sistema simple de hombre-mquina. En la conduccin, el ser humano recibe
entradas desde fuera del vehculo (por ejemplo, sonidos y seales visuales de
trfico, obstrucciones y seales) y de la muestra en el interior del vehculo (por
ejemplo, el velocmetro, indicador de nivel de combustible y temperatura). La
persona que evala continuamente esta informacin, decide sobre los cursos
de accin, y traduce estas decisiones en acciones sobre controlesprincipalmente el acelerador, los frenos de las ruedas y la direccin del
vehculo. Por ltimo, el conductor se ve influenciada por factores ambientales
tales como el ruido, humos y temperatura.
El estudio de la ergonoma tiene sus orgenes en la Revolucin Industrial y
surgi como una disciplina de pleno derecho durante la Segunda Guerra
Mundial. Se reconoci que el diseo de cabina de avin sea necesario tener en
cuenta la interfaz humana para los controles y pantallas. Los ingenieros de
diseo centrados en la tecnologa y los psiclogos industriales trabajaron para

optimizar la interfaz. En algunos casos, los factores humanos de diseo pueden

afectar a la rentabilidad de la lnea de fondo o puede ser una cuestin de vida
o muerte, por ejemplo, en el diseo de interfaces en las industrias de alto
riesgo. Las empresas se dieron cuenta de que el xito de un producto depende
de un buen diseo de los factores humanos.
Las personas trabajan mejor y cometen menos errores (lo que podra reducir el
riesgo de seguridad) cuando estn en un ambiente familiar. Siguiendo con el
tema del vehculo, no hay ninguna prescripcin estndar real, que de las
palancas de control en el lado del volante de direccin lleva a cabo lo que la
funcin, incluso dentro de un nico fabricante. Cuando un conductor se mueve
de un vehculo a otro, incluso si esto sucede con regularidad, es muy fcil dar
las luces cuando se trata de lavar el parabrisas o para indicar un giro cuando
se desea encender las escobillas limpiaparabrisas.
Adems de la ergonoma, hay cuestiones tales como la facilidad de uso que
contribuyen a los riesgos de seguridad que una empresa puede recibir en los
factores humanos DI. Por ejemplo, una empresa puede invertir en tecnologa
robusta para asegurar la informacin, tales como los sistemas de proteccin de
intrusiones (IPS), cortafuegos, las soluciones de prevencin de prdida de datos
(DLP) y correladores de eventos. Si bien muchos de estos dispositivos estn
preconfigurados con las polticas estndar, requieren personalizacin basada
en el riesgo de la empresa y el diseo de la red. Los errores en la configuracin
pueden hacer que las mquinas se comporten de manera inesperada, lo que
resulta en problemas de seguridad imprevistos; Del mismo modo, es
importante que se capacitar al personal de seguridad operacional en el
seguimiento de estos dispositivos, de forma que cuando se produce un
incidente, se advierte tan pronto como sea posible. En muchos casos, la
configuracin de seguridad inicial de una solucin de tecnologa fuera de la
caja no es lo que debera ser, debido al hecho de que la primera configuracin
se considera el 'mnimo', para dar cabida a tantos clientes como sea posible.
Del mismo modo, la introduccin de nuevas normas y la personalizacin de una
solucin de seguridad no puede ser intuitivo.
Las tecnologas implementadas por la organizacin de seguridad tambin
deben considerar la aceptacin del usuario. Si las tecnologas diseadas para
proteger los activos de informacin comienzan a sofocar la productividad o de
otro modo interrumpir las operaciones diarias, que no pueden ser considerados
ineficaces e ineficientes. Por lo tanto, es imperativo que la aceptacin del
usuario tenerse en cuenta al implementar controles. Factores Humanos DI es
uno de los motivadores de que el comportamiento del usuario de forma,
mientras que la otra es la cultura DI. Ambas influencias deben tenerse en
cuenta.
Es un hecho conocido que los seres humanos pueden y deben ir por los
controles de seguridad. Muchas empresas han implementado las ltimas y
mejores tecnologas slo para que los empleados trabajan alrededor de los
controles. Mientras que la ltima y mejor tecnologa es fantstica, por s solo,
puede crear un nuevo riesgo para la empresa: una falsa sensacin de

seguridad. Un ejemplo de una falsa sensacin de seguridad es los controles

actuales usados en los aeropuertos. Es el pblico que viaja realmente ms
seguro cuando se vuela a causa de los procedimientos de seguridad requeridos
a menudo intrusivos entre el registro de entrada y la puerta, o se trata de
procedimientos de seguridad simplemente un 'show', con ningn valor real.
Toda la seguridad en vigor desde el 11 de septiembre de 2001 los ataques
terroristas contra diversos objetivos de los Estados Unidos no han identificado
al menos dos de alto perfil intentos terroristas conocidos en los aviones. En
ambas situaciones, el presunto terrorista saba lo que eran los controles de
seguridad en su lugar y los evit por cualquiera de los materiales que se
esconden en las zonas sin marcar, o el uso de materiales no lquidos en busca
de explosivos. Este fenmeno se debe en parte al DI Surgimiento y factores
humanos DI. Los autores invirtieron el pensamiento lineal (y reactiva) de
gestin de la seguridad por el mero uso de una combinacin de factores y los
fallos de seguridad que no se haban considerado antes. Ellos estudiaron las
medidas de seguridad en su lugar y luego intent una brecha de seguridad en
lo que consideraban como un eslabn dbil en la cadena. En cuanto a los
factores humanos en la seguridad, esto pone de manifiesto cmo los individuos
se sistmicamente a cabo a pensar en las medidas de seguridad existentes.
Como resultado, los reactivos, controles adicionales se promulgaron que
pueden hacer que las personas se sienten seguros, pero en realidad puede no
mitigar el riesgo de que los terroristas el contrabando de armas sobre un plano.
De hecho, los controles obligados aparicin. Despus del incidente inicial del
zapato de bombardeo, muchos aeropuertos obligaron a los pasajeros a quitarse
los zapatos y no llevar lquidos en un avin. En respuesta, los planes de los
terroristas continan evolucionando y explotar diferentes reas en el permetro
donde la seguridad no es tan apretado, mientras que la gente comn sufren de
pies helados mientras est de pie en la fila. En contraste con el pensamiento
sistmico que se aplican potenciales terroristas, la seguridad en los
aeropuertos reactiva no tiene en cuenta los pensamientos holsticos de
seguridad: la adicin de ms controles y haciendo volar generalmente ms
engorroso no aade al nivel fctico de seguridad.
Como se ha mencionado antes, la tecnologa de la informacin puede
proporcionar las respuestas, pero las respuestas no pueden reemplazar a hacer
preguntas de seguridad. Cuando la gente simplemente se basa en la tecnologa
sin comprenderla, incluso las debilidades de seguridad ms obvias son a
menudo pasados por alto. Esto se aplica a todos los niveles de la organizacin:
Los ejecutivos depositar una confianza excesiva en la tecnologa de la
informacin y otras soluciones mecnicas para proporcionar la
infraestructura de seguridad necesaria.
Los gerentes se basan en la existencia de controles basados en la poltica
de seguridad para asegurarse de que no hay debilidades.

 El personal se siente cmodo que no representan una debilidad en la

seguridad porque esto es responsabilidad de otra persona, y siguiendo los
procedimientos de la carta es una garanta razonable.
Los posibles problemas que se deben abordar en el presente DI, por tanto,
incluyen, pero no estn limitados a:
Si no se entiende no slo los requisitos de seguridad, pero la razn de ellas.
Si no se aprecian los conceptos de riesgo de negocio y el posible impacto
de los fallos de seguridad.
El no tener en cuenta, y poner en prctica, los controles del sistema
disponibles que apoyan la seguridad informtica.
El error humano en la forma de la mala memoria o una simple falta de
atencin a los detalles.
Factores humanos externos como el soborno, la corrupcin y los problemas
sociales, lo que puede influir en el nivel de concienciacin sobre la seguridad
y la adherencia a los controles.
Tendencias humanas naturales por lo que las personas hacen mal uso de
instalaciones informticas para sus propios fines.
Naturalmente, esto se refiere no slo a factores humanos DI, sino tambin para
el modelo general. Esto concuerda con el carcter global de BMIS y las
interdependencias entre todos los elementos y DI dentro del modelo.
El impacto de la DI factores humanos en el elemento Pueblo y el efecto del
elemento en la DI son, por lo tanto, fcil de entender pero difcil de tratar; Sin
embargo, esta relacin puede muy bien ser el ms crtico para el sistema de
gestin de la seguridad para hacer frente a lo que es a menudo la parte ms
dbil.
Algunos individuos tienen una aversin natural a la utilizacin de cualquier
tecnologa (no slo IT), y esto tiene un material, y probablemente perjudicial, el
efecto sobre el elemento de Tecnologa. Las personas pueden ser confundidos o
molestos por los controles tcnicos que causan retraso en productividad. Por lo
general, hay varias razones por las cuales la gente puede no querer abrazar a
los controles de seguridad de ndole tcnica. Cuestiones tales como la edad, la
experiencia tcnica y la tolerancia a la ambigedad todos los factores en su
eficacia.
La edad y la educacin por s sola, sin embargo, no indican el uso correcto de
las TI. El sistema de gestin de seguridad de la informacin tambin debe
abordar la posible falta de entendimiento, asegurando que los "errores" no
pueden suceder. A modo de ejemplo, un importante banco sufri una serie de
virus '' infecciones graves y perjudiciales de ordenador a la red corporativa. Al
investigar el incidente, los analistas forenses descubrieron que:

Los usuarios dentro de las ramas haban descubierto que podan

acelerar los tiempos de respuesta de la red apagando el software
antivirus de escritorio.
Los usuarios tenan una mala comprensin no slo de la naturaleza
de un ataque de virus, sino tambin procedimientos de escalamiento
y notificacin.

La segunda cuestin era uno de pobre formacin y sensibilizacin, pero la

primera debera haberse evitado por el departamento de TI que cre la
configuracin de escritorio de tal manera que los usuarios pueden apagar
el software antivirus. Este fue un caso simple, pero es tan a menudo el
asunto sencillo, fcil pasar por alto la hora de crear la infraestructura de
seguridad, que puede conducir a las mayores debilidades.
Factores Humanos DI tambin influye en el elemento tecnologa al requerir
la instalacin de una serie de soluciones tcnicas para intrnsecamente
problemas "humanos". Estos incluyen, pero no se limitan a:
Otro software de "malware" y Antivirus
Los cortafuegos para restringir el trfico de Internet
El software de filtrado para evitar el mal uso de Internet e identificar
intentos
Los sistemas de deteccin de intrusiones de red (IDS) para identificar el
acceso de usuarios no apropiado y potencialmente peligroso.
En conclusin, para abordar las cuestiones de la DI factores humanos y su
relacin con las Personas y elementos de tecnologa requiere una cuidadosa
atencin a los detalles; aplicacin y el cumplimiento de todos los controles y
restricciones basadas en el sistema disponibles; establecimiento de gestin o
controles de revisin por pares, segn sea necesario; y, sobre todo, el
establecimiento de un proceso continuo de seguridad efectiva.
La sensibilizacin a travs de la organizacin. reas de inters para los
profesionales de la seguridad incluyen:
Comunicacin
Tarea de Trabajo analiza y analiza la facilidad de uso, incluyendo los
requisitos funcionales y asignacin de recursos
Las descripciones de puestos y funciones, los procedimientos
relacionados con el trabajo y la utilizacin de estos procedimientos
Conocimientos, habilidades y capacidades
Diseo de control y visualizacin
Estrs
Visualizacin de datos
Diferencias individuales
El envejecimiento, la accesibilidad
La seguridad
Error humano

Todas las reas enumeradas anteriormente deben ser consideradas y, en caso

necesario, cuyo objetivo es asegurar que el efecto de los factores humanos en
la seguridad de la informacin es beneficiosa y no contraproducente. Si la
nica tecnologa disponible para las personas es un martillo, cuntos
problemas de seguridad parecerse a un clavo? Y Cuntas "soluciones" existen
para golpearlo?