Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad Informática, auditoría y certificación. Cursos y seminarios, consultoría.

Site hosted by Angelfire.com: Build your free website today!

ARTICULOS

Comentarios sobre una Maestría en Seguridad de la Información

Muchas cosas han cambiado en cuanto a seguridad de la información en los últimos 10 años. Y sin embargo todavía hay una gran falencia en cuanto a medidas de seguridad a nivel corporativo, más allá del área IT. Basta revisar especialmente la norma ISO 27002, donde de las once áreas consideradas, sólo tres se refieren estrictamente a los riesgos de carácter técnico, mientras siete son de gestión de la seguridad, más uno referido a los riesgos físicos, lo que permite plantear diferencias entre seguridad informática y seguridad de la información (1).

Uno de los indicadores más notables en este sentido es la reducida cantidad de certificaciones con la ISO 27001 que se observa hacia marzo de 2012, con sólo 2 en Argentina frente por ejemplo a las más de 20 en Brasil y México, Colombia con 11 y Perú con 5.

En este caso nosotros tuvimos una experiencia valiosa en una empresa donde a lo largo de largos meses se hizo un extenso trabajo en seguridad determinando riesgos organizacionales, operacionales, técnicos y físicos, se establecieron las medidas de seguridad necesarias, se abrieron foros de gestión, se dieron charlas de concientización, etc. etc. Un proyecto que pudo ser un “leading case” y que, sin embargo, lamentablemente en un momento dado se truncó.

Otras experiencias muestran que la problemática principal del día a día de las tareas de un técnico en seguridad está centrada en resolver problemas de malware, phishing, spam, hackers, y todos los nuevos tipos de ataques de hackers. Y entonces, el problema es que si el concepto de seguridad corporativa no “sube” a los niveles gerenciales difícilmente se pueda llevar adelante un proyecto completo y sustentable de seguridad de la información.

A su vez tampoco es fácil “entrar” por arriba con estos temas, como los hemos comprobado en campañas corporativas de difusión y “evangelización” que se proyectaron en el área de la CEyTIC del Centro Argentino de Ingenieros, CAI.

La falta de conocimientos y experticia a nivel corporativo de seguridad puede suplirse con un curso de “extensión” en normas y gestión de la seguridad para especialistas en seguridad informática. Incluso dicho curso puede coronarse con una maestría para preparar a los futuros CISO que, como gerentes de una empresa, no sólo deben conocer los temas de su área sino también dirigir y administrar su gerencia así como interaccionar con las gerencias de otras áreas y el propio directorio o alta gerencia de una empresa.

Un proyecto en base al perfil comentado (2) sólo recibió en los últimos años apoyo de una universidad Argentina, aunque no avanzó finalmente por falta de una política efectiva para generar o conseguir los fondos para poder llevar adelante dicho proyecto.

Esperamos que en un futuro no lejano se puedan revertir todas estas situaciones y avanzar como otros países de habla hispana y de otras latitudes.

(1): Ver Seguridad Informática vs. Seguridad de la Información
(2): Ver Antecedentes de una Maestría en Riesgos y Seguridad de la Información

© Copyright 2012 - Carlos Ormella Meyer

¿Seguridad informática vs. Seguridad de la información?

La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta década, muestra algunas visiones diferenciales y en parte contrastantes en temas de gran importancia para una empresa.

Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los "especialistas en seguridad" basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT, aunque una parte de ellos también consideran las cuestiones propias del "nuevo" aspecto de las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.

Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente para hablar de los riesgos correspondientes.

Para un análisis o valuación de riesgos (risk assessment, RA) aunque se refieran a lo técnico, es necesario realizar también valuaciones de los activos, así como una identificación de las amenazas que puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas, cada uno medido en rangos apropiados de niveles (típicamente 3 para vulnerabilidades, 3 a 5 para amenazas, y 5 a 8 o aún más para activos).

Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.

El proceso es tal que, a partir de tales riesgos de características técnicas el enfoque más eficiente es realizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie 800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles aceptables.

Hasta aquí se puede hablar de seguridad informática. Si bien este término es una buena traducción del correspondiente en inglés, information security, el sentido que se ha venido dando a esta problemática está mucho más cercano a algo como “computer/network security” o simplemente “IT security”.

Seguridad de la Información
Últimamente se viene dando el cambio a seguridad de la información como traducción más adecuada de information security. Pero peso a ello todavía hay muchos especialistas que siguen llamando así al puro enfoque técnico comentado antes.

En realidad la seguridad de la información es bastante más amplia, ya que no es simplemente una cuestión técnica sino responsabilidad de la alta gerencia y cuadros directivos de una organización.

En tal sentido hay que tener en cuenta que el ambiente ICT tiende a estar orientado al servicio y actuar como función habilitante de los procesos de negocios. En esto difiere de los procesos centrales mismos de una organización que constituyen el núcleo de los negocios de una empresa.

De hecho, sin el involucramiento activo de las unidades y líderes de negocio, ejecutivos, directorio y steering-committee, no puede existir un plan sustentable de seguridad de la información, a partir de los riesgos determinados. Y todo esto dentro del sistema de dirección y control propio de un adecuado gobierno corporativo, como define la OECD (Organización para la Cooperación y Desarrollo Económico, OCDE en español) al corporate governance.

Ahora se trata, entre otras cosas, de considerar también la gente, los procesos y funciones de negocio, la protección de todos los activos/recursos de una organización. Donde toda la empresa es la impulsora, propietaria y beneficiaria de la seguridad de la información, en un marco de responsabilidades compartidas.

Lo comentado en los últimos párrafos implica entonces que para el marco de la seguridad de la información se requiere considerar no sólo los riesgos técnicos de ICT, sino también los riesgos de seguridad que se extienden a toda la empresa, es decir: organizacionales, operacionales y físicos.

Además, los riesgos operacionales -de singular trascendencia por ejemplo en el contexto del Nuevo Acuerdo de Capitales Basilea II para los bancos- son cada vez más cruciales en los escenarios de seguridad de la información. Y las vulnerabilidades de este tipo de riesgos, a diferencia de las vulnerabilidades ICT que responden más bien a un esquema blanco-negro, se extienden a lo largo de una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivas de las personas, la cultura empresarial, la forma de comunicación, la resistencia al cambio, etc.

La determinación de las vulnerabilidades organizacionales sigue un proceso muy diferente a las mediciones o lecturas tomadas sobre computadores, servidores, routers, switches, etc. Como generalmente no se disponen de datos históricos suficientes, un análisis exacto se hace imposible. Por eso el análisis se complementa con información que se puede recabar en tal sentido y que se corresponde con información subjetiva surgida de opiniones (generalmente de expertos o al menos de personal con conocimiento específicos del área que se analiza). Estas opiniones pueden identificarse y analizarse a partir de algún método de investigación prospectiva tal como Delphi, seguido por entrevistas personales para establecer el valor de dichas opiniones.

Por otra parte, la valuación de activos no está en la mayoría de los casos al alcance de los técnicos. El valor o nivel de un activo es un valor del negocio y para los negocios de una empresa. Esto señala que los propietarios de los procesos de negocio son quienes pueden establecer un valor adecuado de los mismos y de allí derivar los valores de los activos/recursos que manejan las diferentes funciones que componen cada proceso.

A esta altura habrá que determinar la forma de reducir los riesgos a niveles aceptables. El medio adecuado para hacerlo será la aplicación de la norma ISO 27002 (que contempla todos los aspectos mencionados, es decir, organizacionales, operacionales, técnicos de ITC o TIC, y físicos), para seleccionar a partir de tales riesgos los controles de dicha norma necesarios para tal reducción. Dichos controles se implementarán conforme la norma ISO 27001 para establecer así un Sistema de Gestión de Seguridad de la Información o SGSI que, además de ser certificable, guarda alineamiento y armonización con otros sistemas de gestión como los de Calidad y Ambiental, entre otros.

Seguridad de la Información y Seguridad Informática
La extensión del concepto usual de seguridad informática al de seguridad de la información, implica un corrimiento y visión más amplia de un marco de riesgos de negocios respecto de la perspectiva tradicional de seguridad técnica, basada principalmente en vulnerabilidades. De acuerdo con lo visto anteriormente, tal extensión se da de dos maneras.

Por un lado, en el contexto de la seguridad de la información los riesgos de negocios incluyen no sólo las vulnerabilidades y un aspecto de las amenazas, sino el conjunto de los factores que determinan tales riesgos: activos, vulnerabilidades y amenazas.

Por otra parte, los riesgos de negocio que se consideran incluyen los riesgos organizacionales, operacionales, físicos y de sistemas ICT.

Una visión ilustrativa de tales conceptos puede visualizarse en la figura que se acompaña.

En todo este escenario, especialmente de riesgos organizacionales y operacionales, aparece un factor generalmente descuidado y aún desconocido en la implementación de medidas de seguridad. Se trata del factor gente, ya que tales medidas requieren cambios de comportamiento y actitudes lo que puede entrar en conflicto con los esquemas de la mayoría de las personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan para el caso.

La gestión de cambios a nivel personal, grupal y organizacional, incluyendo las redes sociales internas y la propia cultura corporativa, nos enfrenta con desafíos de características nada técnicas. Se necesita construir una participación y compromiso efectivos a fin de lograr el éxito en la implementación de las medidas de seguridad. Para ello hay que comunicar al personal de supervisión el conocimiento y comportamiento adecuados así como facilitar el desarrollo de la resiliencia. Y que dicho enfoque sea luego trasladado de manera análoga al personal que cada uno tenga a su cargo.

Finalmente surge también que un enfoque completo de seguridad de la información parte de considerar que los recursos necesarios para mitigar los riesgos dentro de un plan de seguridad, no son un gasto sino una inversión. Y que, como tal, se requiere el análisis y determinación cuantificable del retorno de las inversiones en seguridad, particularmente por medio de la determinación del ROSI (Retorno Sobre la Inversión en Seguridad) como extensión del conocido concepto financiero de ROI (Retorno Sobre la Inversión).

Copyright ©2011. Carlos Ormella Meyer.

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

¿Análisis de Impactos o Valuación de Riesgos?

En algunas ocasiones se ha venido planteado una disyuntiva sobre qué mecanismo es mejor o más adecuado para iniciar un plan de seguridad de la información. Y en tal sentido se menciona el BIA (Análisis de Impacto en los Negocios) y RA (Valuación de Riesgos).

La verdad es que ya de las propias palabras que caracterizan dichas siglas surge evidente que BIA y RA son cosas distintas, por lo que su comparación no puede hacerse directamente.

BIA, Análisis de Impacto en los Negocios
El análisis de impacto en los negocios es un paso clave en el proceso de un BCP (Plan de Continuidad de Negocios) como parte de un BCM (Gestión de Continuidad de Negocios).

Esto se debe a que BIA está básicamente relacionado con eventos indeseados que provoquen una interrupción o degradación de las operaciones de una empresa, es decir, afectando la disponibilidad de los recursos necesarios para mantener operando adecuadamente los procesos críticos de negocio correspondientes. Incluso en ese contexto no se necesitan conocer las causas y/o la probabilidad de tales eventos para poder determinar el impacto de una falla en dichos procesos.

El BIA por definición se refiere a impactos, un concepto usado para la determinación de riesgos enfocados en los incidentes incluso medidos cuantitativamente como el ALE (Expectativa de Pérdidas Anuales). El impacto es uno de los dos factores de riesgos, donde el otro es la frecuencia anual de ocurrencia de los eventos indeseados, para determinar entre los dos la expectativa de pérdidas a lo largo de un año.

Por otra parte, el BIA permite valuar el impacto a lo largo del tiempo en un proceso de negocios no disponible o con un desempeño diferente al previsto, así como para priorizar las funciones que lo relaciona con otros procesos.

El BIA permite identificar los lapsos de tiempo y el alcance del impacto de una interrupción en las operaciones críticas de una organización, proporcionando los datos para determinar las estrategias para tratar con ellos. De esta manera está muy relacionado con la disponibilidad. Los lapsos de tiempo se establecen con indicadores como RTO, RPO y MTPD. Estos indicadores establecen ventanas “críticas”, "recuperación del pasado” y “fatal” respectivamente. En todos los casos, los componentes de los procesos, es decir funciones y recursos/activos de los procesos que los soportan, heredan los correspondientes lapsos de tiempo.

RA, Valuación de Riesgos
Por el otro lado, la valuación de riesgos (risk assessment) se refiere también a los riesgos como entidad, es decir los resultantes de los diversos componentes que los provocan: los dos factores mencionados de impactos y probabilidad anual de ocurrencia en el caso de trabajar con ALE, o bien activos, vulnerabilidades y amenazas en el caso de determinar los i>riesgos enfocados en los activos

Por otra parte, el RA es el mecanismo idóneo para determinar cómo mitigar el efecto de esos eventos o incluso previendo que ocurran, trabajando sobre los componentes del riesgo por medio de salvaguardas o contramedidas de seguridad.

RA y BIA
De todo lo anterior podría decirse que RA es más completo que BIA, aunque en realidad no incluye todas las prestaciones del BIA, como los parámetros temporales mencionados.

En realidad los dos mecanismos que se comparan surgen de metodologías diferentes, aunque en todo caso con algunos aspectos en común. Estas metodologías son el BCP/BCM de la norma BS 25999 y el SGSI (Sistema de Gestión de Seguridad de la Información) según lo establecido por las normas de Seguridad de la Información ISO 27002 e ISO 27001.

En un proyecto de BCP / BCM, RA es posterior al BIA. Un Análisis de Impactos en los Negocios debe completarse antes de realizar la Valuación de Riesgos, para identificar así primero las funciones críticas en las que debe concentrarse dicha valuación.

Como resultado, esta forma de RA se refiere solamente a los procesos críticos para la continuidad de negocios identificados por el BIA, bajo el enfoque de la disponibilidad necesaria para asegurar la continuidad de negocios.

Por otra parte, en cualquier caso, podemos decir que el índice de criticidad / importancia de los procesos establecidos en el BIA puede utilizarse en la RA, con lo que para procesos de un mismo nivel de riesgo el tratamiento sería más inmediato para los de mayor tasa de criticidad y menor o postergable para los otros.

Pero las cosas no son tan simples en algunas situaciones. Una de ellas en la que hemos trabajado aparece cuando las empresas ya habían implementado un BCP y estaban planeando establecer un plan de seguridad bajo SGSI.

Efectivamente, la valuación de riesgos implica la valuación de todas los riesgos existentes (no sólo los críticos) tanto TIC como los organizacionales, operacionales y físicos, en el contexto del valor de los activos de la organización. En este sentido, la valuación de riesgos en forma integral requiere identificar las vulnerabilidades de los activos de la organización que las amenazas podrían explotar.

Además, RA no se refiere sólo al aspecto de disponibilidad propio del BIA sino también al resto de los factores que afectan la seguridad de la información, tales como la confidencialidad e integridad, más la responsabilidad, autenticidad y confiabilidad. Como se puede apreciar, el RA en un escenario SGSI es más amplio que en el caso de un BCP, por lo cual si existe un BCP/BCM antes de implementar el SGSI de la ISO 27001, habrá que ampliar el RA correspondiente.

La situación es diferente cuando no hay una implementación BCP/BCM previa antes de implementar un SGSI. En este caso el RA se realiza antes que el BIA resultante de aplicar el Capítulo 14, Gestión de Continuidad del Negocios, de la ISO 27002. De esta manera, se tiene que esta forma de RA es lo suficientemente amplia como para permitir extraer un subconjunto del RA para el tratamiento de la porción Continuidad de Negocios de un proyecto de seguridad de la información.

Copyright ©2011. Carlos Ormella Meyer.

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

METRICAS DE SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DEL DESEMPEÑO CON EL BALANCED SCORECARD

Hay dos temas en seguridad de la información que pese a su limitada difusión se proyectan a todas las áreas de protección de datos corporativos, adquiriendo así una trascendencia que es necesario considerar.

Uno de estos temas es el de la justificación de las inversiones en seguridad. El otro es cómo medir el desempeño de las medidas de seguridad y realizar la gestión correspondiente en la búsqueda de mejores resultados.

El primer tema hace ya varios años que ha sido analizado, dando origen al ROSI (ver recuadro ROSI) como aplicación en seguridad de la información del indicador financiero ROI, es decir, el Retorno Sobre la Inversión.

ROSI
El Retorno Sobre la Inversión en Seguridad trabaja con el mecanismo ALE, es decir la Expectativa de Pérdidas Anualizadas, basado en el impacto de cada incidente de seguridad y su probabilidad de ocurrencia a lo largo de un año.

Este mecanismo funciona adecuadamente cuando se disponen de suficientes datos históricos de dichos incidentes. Ante la ausencia de datos históricos propios, se puede recurrir a fuentes externas aunque, generalmente no son completas y pueden estar referidas a ambientes de negocios diferentes al que se analiza.

Además, tampoco es seguro que lo ocurrido se repita de la misma manera, ya que hay incidentes que declinan en su aparición por la acción de salvaguardas o de las propias amenazas, así como incidentes nuevos que antes no aparecían.

En este escenario de incertidumbre se puede usar la aproximación de Bayes que combina los datos históricos que se dispongan con datos cualitativos surgidos de las opiniones del personal clave involucrado. O mejor aún, aplicar la simulación Monte Carlo a partir de distribuciones estadísticas adecuadas, lo que permite acotar resultados como para volverlos más aceptables, incluso las inversiones correspondientes, por parte de los gerentes administrativos y otros ejecutivos que por sus actividades conocen las aplicaciones del ROI.

Diferente ha sido hasta hace poco tratar con la segunda cuestión planteada antes. Desde hace un tiempo lo más completo han sido las métricas del NIST [1], aunque con un mayor enfoque en lo técnico. Nosotros hemos venido trabajando con el mapeo de los controles NIST a los controles de las normas ISO [2] para determinar así las métricas NIST adecuadas, además de agregar algunas otras derivadas del análisis del texto de los propios controles de seguridad ISO 27002 aplicando GQM (Métricas por Cuestionarios de Metas).

Adicionalmente también corresponde verificar la efectividad de los planes de concientización en cuanto por ejemplo a diferentes políticas sobre las que se ha trabajado. El cumplimiento de tales políticas por parte de las personas se puede verificar según diferentes criterios.

Como habrá un cierto número de políticas con diferente importancia o prioridad (con lo cual la suma de tales prioridades se iguala a uno), la situación puede analizarse recurriendo a la Función de Valor como método más empleado del MCDA (Análisis de Decisiones con Múltiples Criterios). También los criterios con que se consideren las políticas tendrán su importancia relativa o prioridad entre ellos, de modo que también se puede aplicar la Función de Valor correspondiente.

Para la aplicación de la Función de Valor veamos el caso del análisis de las diferentes políticas en cuanto a su conformidad con cada uno de los criterios establecidos.

En primer lugar la Función de Valor para una política cualquiera respecto de cierto criterio estará dada por el Nivel de Cumplimiento verificado de la misma para el criterio en cuestión y el factor de importancia/prioridad o Peso relativo (de 0 a 1) del mismo criterio.

A su vez, la Función de Valor particular para una política respecto de todos los criterios es la sumatoria de los resultados obtenidos para cada uno de los criterios del producto del Nivel de Cumplimiento verificado de dicha política respecto de un criterio en particular y el Peso relativo de dicho criterio.

Finalmente, la Función de Valor total para todas las políticas analizadas será igual a la sumatoria de la Función de Valor particular de cada una de las políticas por el Peso relativo (de 0 a 1) de la política considerada en cada caso.

Un análisis similar puede hacerse con los diferentes criterios simplemente permutando “política” por “criterio” y viceversa en los conceptos de los cuatro párrafos anteriores.

Para llevar adelante todo el proceso mencionado antes se requiere establecer las políticas, los criterios con que se analizarán el cumplimiento de las mismas, y los pesos relativos de cada una de las políticas y de cada uno de los criterios.

En primer lugar las políticas responden a los temas tratados en el plan de concientización, como por ejemplo nivel de atención a las políticas, manejo y gestión de contraseñas, uso de equipamiento móvil, manejo de documentación en papel, uso del email, reacción ante incidentes, etc.

Ahora bien, para establecer el nivel de cumplimiento de dichas políticas se puede recurrir a técnicas propias de la Psicología Social tales como cuestionarios cerrados de dos o tres respuestas posibles, enfocados por separado en criterios como el aporte a dicho cumplimiento en cuanto, por ejemplo, al conocimiento, actitud y comportamiento [3] del personal correspondiente.

Y finalmente, los pesos relativos de cada una de las políticas y de cada uno de los criterios se pueden establecer mediante la aplicación del AHP (Proceso de Análisis Jerárquico) incluyendo las comparaciones de a pares.

Más allá de todos los enfoques específicos mencionados, el panorama normativo se amplió con la aparición en diciembre de 2009 de la ISO 27004 de Métricas de Seguridad. Esta norma establece un marco de referencia para medir la eficiencia del SGSI y la efectividad de los controles de seguridad implementados conforme la ISO 27001, así como también un modelo de mediciones incluyendo las condiciones sobre qué medir y cómo, y que proporcione resultados adecuados para analizar y mejorar el tratamiento de los riesgos.

Sin embargo, hasta aquí no surge un mecanismo que pudiere servir como control y medio de gestión efectivo para las medidas de seguridad implementadas, y que incluso facilite la toma de decisiones para las mejoras correspondientes. En este caso, como con ROSI, se puede recurrir a una herramienta de otra área de negocios.

Se trata del Balanced Scorecard (BSC) o Cuadro de Mando Integral (CMI) que, si bien se presentó hace casi 20 años como una herramienta para medir el desempeño de procesos, hoy día tiene su principal aplicación en la implementación de los objetivos estratégicos de una empresa.

Esto último es importante para la seguridad porque permite una comunicación directa con las áreas de negocio de la empresa, con las ventajas que irán surgiendo en lo que sigue.

Para poder aplicar el BSC a la seguridad de la información es conveniente tener claro algunos conceptos básicos a nivel empresarial. Ellos son principalmente la Misión, Visión, Estrategia, Objetivos Estratégicos y Activos.

En forma resumida pero concreta estos conceptos implican lo siguiente:
• La Misión se enfoca en el presente de la empresa.
• La Visión expresa lo que la empresa aspira ser en el futuro, en general las metas que se quieren lograr.
• La Estrategia consiste en establecer objetivos estratégicos para lograr a partir de las condiciones definidas en la Misión, concretar las metas expresadas en la Visión.
• Los Activos son los bienes con que cuenta una empresa. Hay dos tipos de activos: Financieros e Intangibles.
a) Los Activos Financieros son los únicos que tradicionalmente se han considerado, ya que expresan los valores físicos y contables con que cuenta una empresa.
b) Los Activos Intangibles -un paradigma moderno- son, entre otros, los conocimientos, la información, la cultura corporativa y el liderazgo.

El BSC incorpora los Activos Intangibles además de los Activos Financieros, con lo cual adquiere una mucho mayor relevancia gracias a un enfoque integral de la problemática de una organización. A partir de estas bases el BSC traslada la Estrategia a la acción y monitorea su ejecución, facilitando la toma de decisiones para cumplir las metas y objetivos.

El enfoque del BSC se basa en cuatro perspectivas: Financiera, Clientes, Procesos Internos y Aprendizaje y Crecimiento. Este último suele referírselo también como Investigación y Desarrollo.

Breve pero concretamente tales perspectivas pueden describirse de la siguiente manera:
• Financiera: Punto de vista de los socios.
• Clientes: Punto de vista de los clientes.
• Procesos Internos: Se relaciona con la gestión de las operaciones en general.

• Aprendizaje y Crecimiento: Define cómo se aprende a crecer y soportar la estrategia por medio de sus procesos y a entregar la respuesta adecuada a los clientes.

El BSC tiene dos partes: Mapa Estratégico y Tablero de Comando que se aplican a las cuatro perspectivas.

El Mapa Estratégico (Figura 1) es la imagen gráfica que muestra la representación de la hipótesis en la que se basa la estrategia. Surge de los Objetivos Estratégicos determinados en la Estrategia y las cuatro perspectivas con que se enfocan los negocios.

El resultado es una dependencia entre objetivos manifestada por una cadena de relaciones causa-efecto entre los mismos tanto en una misma como diferente perspectiva.

Estas relaciones son importantes porque de los resultados que se obtengan luego en el Tablero de Comando, puede surgir la necesidad de cambios o mejoras en uno o más objetivos, lo que implica una toma de decisiones respecto de los objetivos de los cuales dependen.

Por su parte, el Tablero de Comando se forma con cuatro elementos (Figura 2): Objetivos, Indicadores, Metas e Iniciativas.

Estos cuatro elementos se aplican a cada una de las cuatro perspectivas y en forma resumida pueden describirse así:
• Objetivos: Lo que se quiere conseguir. Generalmente de 3 a 5 por cada perspectiva.

• Indicadores: Parámetros para monitorear el progreso hacia el alcance de cada objetivo. Usualmente entre 1 y 5 por cada Objetivo. Es conveniente distinguir los conceptos de indicadores, métricas y medidas. Las medidas son las mediciones realizadas, las métricas son relaciones entre medidas y los indicadores son evaluaciones de métricas.
• Metas (targets) o hitos: Lo que se quiere ir logrando a lo largo del tiempo, y que se mide por medio de los indicadores.
• Iniciativas: Planes de acción o programas para lograr los objetivos y las metas correspondientes.

Hasta acá el análisis se refiere a lo puramente estratégico de una empresa. Ahora bien, las estrategias establecidas derivan siempre en procesos operacionales, de modo que los Objetivos Estratégicos determinan Objetivos Operacionales que se aplican a distintas áreas y/o funciones de una organización.

En nuestro caso, dichos Objetivos Estratégicos establecen Objetivos Operacionales relacionados con la Seguridad de la Información. Una vez establecido un Objetivo Operacional de este tipo, del mismo se derivarán como antes los Indicadores para verificar su cumplimiento, las Metas correspondientes deseadas y las Iniciativas a tomar para lograr tal cumplimiento.

Este proceso de "mapeo" de los objetivos estratégicos de negocios a objetivos de seguridad es muy importante, puesto que de esta manera las métricas de seguridad se ponen en un contexto entendible y con sentido para ejecutivos y gerentes, como resultado de cuantificar la eficiencia del SGSI en su proyección a las actividades de toda la empresa, como de hecho lo pide la ISO 27004.

El resultado es que de esta manera el BSC permite establecer un diálogo con ejecutivos en base a aspectos de la seguridad de interés para la alta gerencia, lo que facilita romper esa suerte de falso paradigma quela seguridad es un problema técnico, es decir propio del área IT [4], tan común en las demás áreas de una empresa así como en los niveles gerenciales medios y superiores.

Más aún, en estas condiciones el BSC cumple un rol estratégico en relación con la seguridad de la información. Efectivamente, al generar valor dentro del desarrollo de los negocios actúa como puente entre el área de negocios y el de seguridad de la información.
Ahora bien, una cuestión que surge a continuación es cómo definir los Indicadores y las Iniciativas correspondientes a los Objetivos Operacionales de Seguridad. Pues bien, los Objetivos de Seguridad pueden ser en la práctica ni más ni menos que los propios Objetivos de Control de las normas ISO 27001/27002. Y, por su parte, las Iniciativas de Seguridad pueden ser precisamente los propios Controles de estas normas.

Lo anterior no quiere decir precisamente que todos los Objetivos del Tablero de Comando sean Objetivos de Control y/o que todas las Iniciativas sean Controles de las normas. En realidad el Tablero de Comando no pretende ser una imagen completa de la seguridad de la información a nivel normativo, sino más bien correlacionar los aspectos más críticos de la seguridad con los procesos de negocios de la empresa.

En la Figura 3 se puede visualizar un fragmento de un Tablero de Comando preparado en Excel que gracias al formato condicional permite una semaforización automática de tres niveles (que en los productos comerciales pueden ser más). Para estos niveles se pueden usar diferentes criterios. En la tabla que se presenta se establecieron como umbrales diferenciadores:
• Verde: 75% o más.
• Amarillo: De 45% a menos de 75%.
• Rojo: Menos de 45%.

A modo de ejemplo, en el caso del Objetivo "Asegurar una operación segura" se estableció que para el año 2010 las pérdidas por vulnerabilidades debían reducirse en un 30%. Sin embargo las mediciones verificadas indican que sólo se redujeron en un 8% lo que implica un 27% de cumplimiento de la meta prevista. Como el nivel de cumplimiento del 27% está por debajo del 45%, el color que toma la celda correspondiente será el rojo.

Del análisis de un tablero de comando puede surgir la necesidad de tomar decisiones adecuadas para proporcionar mayor fuerza a las Iniciativas (controles) relacionadas con las metas en rojo y amarillo, en este orden de prioridades, o incluso adicionar nuevas Iniciativas para lograr el cumplimiento de la meta en cuestión.

Los datos que alimenten los valores verificados de un Tablero de Comando pueden lograrse por medio de interfaces a otros programas que ofrecen los productos comerciales, o bien simplemente ingresando enn forma manual los datos correspondientes.

Referencias
[1] NIST 800-55 - Performance Measurement Guide for Information Security.
http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/sp800-55-rev1.pdf
[2] NIST 800-53 - Recommended Security Controls for Federal Information Systems.
http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updated-errata_05-01-2010.pdf
[3] El Factor Gente y la Seguridad de la Información, Ing. Carlos Ormella Meyer.
http://ictnet.es/system/files/factor_gente_segu_info.pdf
http://www.criptored.upm.es/descarga/FactorGenteSeguInfo.zip
http://www.iso27000.es/download/Carlos_Ormella-factor-gente-segu-info.pdf
[4] Seguridad Informática vs. Seguridad de la Información, Ing. Carlos Ormella Meyer.
https://www.angelfire.com/la2/revistalanandwan/articulos.html#si2

Copyright ©2011. Carlos Ormella Meyer.

Los temas de este trabajo se desarrollan extensamente incluyendo trabajos prácticos de Taller en el Curso de "Riesgos y Métricas de Seguridad de la Información" que se presenta en la Sección Cursos de esta página Web, o bien directamente en: Curso Riesgos y Métricas

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

El Factor Gente y la Seguridad de la Información

Abstract — La importancia de las normas de “seguridad de la información” se viene extendiendo a nivel corporativo como un componente de negocios, más allá del concepto de “seguridad informática” limitada al área tecnológica. Efectivamente, tanto los Principios del Gobierno Corporativo como las Guías de Seguridad de la OECD (Organización para Cooperación y Desarrollo Económico) conducen a considerar también los riesgos organizacionales y operacionales. Aquí es donde aparece el “factor gente”, individuos y grupos, generalmente descuidado y/o desconocido, incluso por el “management”, al implementar medidas de seguridad. Como tales medidas generalmente plantean cambios de conducta, pueden entrar en conflicto con los esquemas de las personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan. Esto nos dice que se necesita no sólo concientización sino un comportamiento adecuado, todo lo cual requiere una amplia discusión a todo nivel y el aporte de disciplinas como la Psicología Social.

Palabras Clave — creencia, conocimiento, actitud, comportamiento, comunicación, participación, compromiso, responsabilidad, cultura corporativa, concientización, gente, resistencia al cambio, seguridad de la información, seguridad informática, medidas de seguridad.

INTRODUCCIÓN
Generalmente se dice que virus y hackers son quienes ponen en riesgo la información. Pero muchas veces la verdad es otra: que el descuido y el uso inadecuado de usuarios legítimos causen mucho mayor daño que aquellos.

Esto se pone de manifiesto en un escenario corporativo cuando al analizar los riesgos organizacionales y operacionales [1], surge un factor generalmente descuidado y a veces hasta desconocido relacionado con las personas y los grupos, y que llamamos el “factor gente”¹.

Por ejemplo, muchos de los desaciertos y fallas en los planes de seguridad que suelen encontrarse se deben a que el personal técnico no conoce suficientemente los riesgos no técnicos, y de allí que tampoco la problemática y gestión del comportamiento de las personas, con todo lo que implica a nivel de la implementación de medidas de seguridad.

Incluso, en parte como consecuencia de todo ello, puede ocurrir que alguna empresa tenga un grueso manual de Políticas de Seguridad Informática, en algunos casos finamente encuadernado y con el sello de importantes consultoras, pero... ¡que muy pocas personas lo han leído y menos aún llevado a la práctica!

Este tipo de experiencias, propias y de terceros, señala que la seguridad de la información depende de la gente, individuos y grupos, más que de la propia tecnología, toda vez que las personas son el eslabón más débil en el cumplimiento de medidas de seguridad. Y esto es así porque la naturaleza humana y las interacciones sociales son frecuentemente más fáciles de manipular que producir brechas en las protecciones tecnológicas.

Efectivamente, a menudo se da que la explotación de las debilidades del comportamiento humano puede soslayar controles técnicos y procedimientos existentes. Es el caso de la Ingeniería Social, es decir la forma de persuadir a las personas para que proporcionen información confidencial.

En consecuencia, la implementación efectiva de un plan de seguridad no se logra desde un punto de vista exclusivamente técnico, sino teniendo en cuenta el comportamiento humano y el contexto social en el que las personas están inmersas.

Lo comentado hasta aquí señala que las medidas de seguridad requieren cambios de actitudes y comportamiento, lo que naturalmente genera sensaciones negativas en la mayoría de las personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan.

La gestión de cambios de conducta a nivel personal, grupal y aún organizacional, incluyendo las redes sociales internas y la propia cultura corporativa, nos enfrenta con ciertos desafíos de características nada técnicas, que van desde un mejor conocimiento de las personas hasta la capacidad de liderar esos cambios.

El panorama planteado es bastante complejo y, salvo escasas excepciones [2] [3] [4], está muy poco o sólo parcialmente contemplado en las buenas prácticas de seguridad de la información. No es el único caso; algo similar ocurre en otras actividades de diferentes disciplinas y otros ámbitos frente a cambios organizacionales.

Para circunscribir la situación apelamos a un razonamiento heurístico considerando no sólo las relaciones causa-efecto sino también, al amparo de un pensamiento lateral, las características que aunque disímiles pudieren aportar a la resolución de las cuestiones planteadas. Adicionalmente procuramos apoyo profesional en cuanto al conocimiento y gestión de las personas, como se comenta más adelante. A continuación se presentan algunos de los aspectos más relevantes que facilitaron el manejo y logro de las metas requeridas.

RESISTENCIA A LOS CAMBIOS
Las sensaciones negativas mencionadas surgen casi naturalmente al implementar medidas de seguridad, ya que en muchos casos dichas medidas pueden entrar en conflicto con los esquemas de las personas, esquemas que responden al cuadro complejo de la realidad sobre el cual basamos nuestros juicios y la forma en que consideramos nuestras interrelaciones sociales.

Esta reacción se manifiesta por el comportamiento de una persona tendiente a retardar, desacreditar, desestimar o impedir la realización de un cambio.

La resistencia al cambio puede responder a factores lógicos. como por ejemplo al posible extendido tiempo y esfuerzo que puede demandar la nueva situación, así como al entorno psicológico de las emociones, sentimientos y actitudes de una persona, y también a características sociológicas de valores sociales basados en criterios y/o intereses grupales.

Esta resistencia no es pareja en todas las personas. Los psicólogos nos dicen que tales diferencias responden a la transferencia de escenarios que cada persona trae inconscientemente del pasado. También, que la visualización de tales escenarios es un acopio personal que puede generar en algunos casos una fuerte resistencia al cambio.

Todo esto nos indica que para obtener resultados adecuados en los planteos hechos hay que ahondar en las raíces de esta problemática, lo que requiere un minucioso análisis, estudio y consideración.

CREENCIAS, CONOCIMIENTO, ACTITUD Y COMPORTAMIENTO
El análisis comienza con cuatro conceptos básicos: qué cree, qué sabe, qué siente y qué hace una persona, en nuestro caso frente a medidas de seguridad.

Una creencia es una actitud o estado mental que considera como cierta una información determinada. Las creencias son las bases personales subjetivas del comportamiento del individuo.

Según los epistemólogos, el conocimiento es algo que se “sabe” sólo cuando es una creencia cuya verdad puede justificarse. La condición de verdadera es un estado objetivo independiente de la persona. Necesitamos entonces que las creencias a transferir deriven en un conocimiento preciso.

La actitud se refiere a una evaluación o respuesta emocional respecto de objetos o hechos. En las actitudes de una persona pueden influir una cantidad de condiciones propias y también externas que han sido investigadas especialmente por algunos estudiosos del tema.

Según Herzberg hay dos tipos de factores que actúan por separado en las actitudes de las personas: Los factores de satisfacción o insatisfacción en el ambiente de trabajo, y los factores motivadores dados por los estímulos recibidos.

Por su parte, Maslow establece que las actitudes de las personas se modelan a partir de las necesidades personales, no sólo las básicas de supervivencia y seguridad sino también en un entorno de gestión participativa como se verá más adelante,.las necesidades sociales en cuanto a su aceptación y valorización por los demás, así como las necesidades de reconocimiento y autorrealización.

Los estudios muestran que aún estímulos aparentemente menores pueden influir en las actitudes. Es el caso de los premios, incluso pequeños pero que refuercen las acciones hacia lo buscado. Por ejemplo algo tan simple como un caramelo o dulce en el escritorio de las personas que al retirarse al fin del día se han deslogeado de sus máquinas y/o no han dejado papeles sobre el escritorio y cerrado con llave los archivadores o gavetas que contienen documentos.

Creencias, conocimiento y actitudes pueden ir desparejos. Se puede tener claro y justificado (conocimiento) que no debe bajarse de la Web material resguardado por la propiedad intelectual, pero igualmente hacerlo pensando (creencia) despreocupadamente (actitud) que nadie lo notará.

El comportamiento de una persona está relacionado habitualmente con su estilo personal, es decir su personalidad. Las personas pueden clasificarse según diferentes tipos de personalidad, como Carl Jung lo sugiriera originalmente, a partir de indicadores basados en dicotomías o conceptos opuestos.

Posteriormente, Myers-Briggs extendieron a cuatro los indicadores de personalidad: extrovertido o introvertido, sensible o intuitivo, racional o emocional, y juuicioso o perceptivo, con lo que resultan 16 tipos diferentes de personalidad. Puesto que el comportamiento se encuadra según estas categorizaciones, se puede deducir que algo similar ocurrirá con respecto a los riesgos y las correspondientes respuestas personales.

Por otra parte, no siempre el comportamiento se corresponde con la actitud. Consideremos dos casos.

Uno se da cuando el comportamiento de una persona no responde en realidad a sus propias actitudes, sino que se adapta al comportamiento dominante en un grupo.

Otro caso puede darse como resultado de entrevistas personales con quienes por ejemplo han contestado previamente a cuestionarios como los propios del Método Delphi de investigación prospectiva. Entrevistas que buscan establecer el nivel de credibilidad de esas personas y apreciar si se corresponden actitudes y comportamientos.

Estas entrevistas, como en otras interacciones personales y grupales, pueden conducir a interpretaciones incorrectas, conocidas como errores de atribución. Esto ocurre al no considerar el contexto de los hechos y/o la existencia de prejuicios ante características o rasgos personales que aún destacándose, pueden derivar de una primera impresión o impresiones parciales que no identifican realmente a las personas.

Salvando distancias y en sentido opuesto es lo que ocurre con el Phishing -un tipo de ingeniería social- que en forma de e-mail parece venir de una institución legítima, como un banco, con una advertencia de medidas no deseadas contra el destinatario, por lo cual se solicita generalmente dar clic a un sitio Web, aparentemente también legítimo y similar al verdadero, donde se le piden datos privados como contraseñas, etc.

En los cambios de comportamiento hay un aspecto muy importante a considerar, además de entender claramente lo que se busca. Se trata de reconocer los llamados habilitadores y bloqueadores que actúan en las conductas humanas.

Los habilitadores son patrones de pensamientos positivos que posibilitan el éxito. Se manifiestan cuando se hacen preguntas que revelan interés y el propio lenguaje corporal en su aspecto positivo. El sustento principal de su acción radica en creer en las propias condiciones y capacidades propias, la autoestima, ver las cosas nuevas como oportunidades, y aceptar responsabilidades que pueden potenciar las posibilidades personales y laborales.

Los bloqueadores, por su parte, son patrones de pensamientos negativos. Aquí podemos mencionar la ya comentada resistencia al cambio, así como también características personales no orientadas a la acción, debido a dejar las cosas para después y la propia pasividad, la formulación de excusas racionales pero de comportamientos irracionales, y por sobre todas las cosas, simplemente el no sentirse suficientemente cómodo con algo.

Los bloqueadores de la comunicación se manifiestan por ejemplo en distintas formas de interrumpir una conversación, la tendencia a considerar fallas o problemas como de otros y no propios, expresiones rotundas reiteradas respecto al comportamiento como “siempre” o “nunca”. Y también en forma pasiva pero con lenguaje corporal, alejándose del interlocutor o por medio de ciertas expresiones en la cara.

Resumiendo se puede decir que lograr un cambio de comportamiento, no sólo en los demás sino en uno mismo, es el mayor desafío a enfrentar. Para ello se necesita tener claro el comportamiento deseado, así como reconocer los habilitadores y bloqueadores, identificando motivadores adecuados de fortalecimiento y compensación respectivamente.

Para producir cambios de comportamiento hay que trabajar sobre las actitudes. Y para influir sobre las actitudes se hace necesario persuadir para desarrollar creencias que lleguen a constituir verdadero conocimiento.

COMUNICACIÓN
La persuasión, o sea cambiar las actitudes de una persona o grupo, y así influir en su comportamiento, se describe en términos de la comunicación. Pichón Rivière dice que la comunicación es el riel del aprendizaje para que éste sea posible y exista, con lo que se resalta la importancia capital de las interacciones personales en el camino de la producción de cambios.

Aquí se pueden plantear conceptos en base a quién, quéi>y cómo. O sea, quién debe comunicar las medidas de seguridad, qué decir y cómo decirlo.

En primer lugar, quién comunica debe tener capacidad de comunicación; ser didáctico, conocer lo que piensan los demás, sus actitudes y creencias, y comprender su comportamiento evitando los errores de atribución.

Qué se dice depende de las personas que reciben la comunicación, sea un usuario operativo, un técnico o un ejecutivo.

Cómo se comunica es un poco un arte; el comunicador debe ser persuasivo y evitar tanto la forma meramente discursiva como las indicaciones perentorias. La aspereza en palabras y gestos genera resentimiento.

La forma de comunicar cambia cuando se habla ante un grupo o en forma individual. Una forma de comunicación estructurada con un grupo de personas puede concretarse por medio de reuniones de trabajo y aún reuniones informales. La variante no estructurada, en cambio, es la interacción directa con otra persona.

En las conversaciones individuales hay que considerar el estilo del interlocutor. Hay personas más abiertas pero también las hay cerradas o reservadas. Y en un contexto dialéctico hay quienes van directamente al grano, mientras otros son más reflexivos.

En la comunicación, muy especialmente en las reuniones personales, es recomendable tener en cuenta un criterio similar al comentado al hablar de las diferentes personalidades. Por ejemplo, una persona “sensible” tendrá mayor preferencia por los detalles que otra del tipo “intuitivo”.

Además, al hablar puede ser más importante lo gestual de las actitudes que el contexto de lo que se dice. Y que comunicarse es algo más que simplemente hablar. Es una calle de doble vía; también hay que escuchar lo que dicen los demás.

PARTICIPACIÓN, COMPROMISO Y RESPONSABILIDAD
Sabemos que la implementación de medidas de seguridad puede provocar reacciones negativas, sea por una percepción de pérdida de la libertad de acción por parte del personal en general, o bien una supuesta invasión al área de los técnicos, o hasta displicencia o desinterés incluso en ejecutivos.

Veces hay en que los efectos de tales circunstancias pueden ser más profundos aunque más bien pasivos, efectos tan adversos que a algunas personas puede costarle reaccionar positivamente de tal situación.

Estas situaciones se corresponden con el concepto de Resiliencia, es decir, la característica de resistir y superar efectos adversos, reaccionando positivamente frente a las dificultades, tomándolas incluso como puntales de fortalecimiento.

Pilares de la resiliencia son una autoestima consistente, introspección, independencia de pensamiento, capacidad de relacionarse y la toma de iniciativas.

La mayor o menor resiliencia es uno de los aspectos de la Inteligencia Emocional que engloba el control y manejo de las percepciones y reacciones de las personas.

Otro de los aspectos de la Inteligencia Emocional se refiere al manejo interpersonal que entra en juego cuando las personas interactúan entre sí. En este punto se pueden mencionar la empatía, la capacidad de influir, la comunicación (incluso el liderazgo) y demás habilidades que permiten un funcionamiento provechoso a los miembros de un grupo.

El equilibrio y la visión positiva propios de la Inteligencia Emocional se vuelcan en acciones a partir de la capacidad de participación, compromiso y responsabilidad

La Participación es el proceso que permite a las personas ejercer mayor influencia sobre las condiciones de su trabajo. Se trata de un concepto bastante reconocido y comentado últimamente, y de hecho es uno de los pilares básicos de la Gerencia Participativa y de la Gerencia por Objetivos.

La importancia de facilitar la participación del personal en una empresa se basa en factores como:
a) El personal conoce como nadie las tareas que se realizan.
b) El resultado de una motivación adecuada conduce a una formación y capacitación consistente.
c) La generación de un importante nivel de compromiso entre el personal gerencial y el operativo.

La participación es crítica para el éxito de un proyecto. La experiencia muestra que la mejor forma de llevar adelante un cambio, tal como la implementación y vigencia de medidas de seguridad, es promover que el personal participe en el proceso mismo, ganando así confianza mutua y credibilidad. Generalmente a mayor participación menor será la resistencia al cambio, y más estable el cambio con el correr del tiempo.

Para establecer tal participación hay que conocer primero qué motiva a las personas en cuanto a sus necesidades personales como ya se comentara. De hecho, la participación resulta ser un mecanismo motivador importante al permitir satisfacer las necesidades de reconocimiento y autorrealización, fortaleciendo las capacidades del personal y ampliando sus perspectivas. En este punto se destaca el trabajo de Mc Gregor que postula los valores humanos y sociales, posicionando al hombre como persona y nó como un recurso, destacando la iniciativa individual.

Que las personas se involucren en algo tiene su razón de ser básica en la psicología de dichas necesidades y en los factores motivadores que modelan sus actitudes, por lo cual la motivación y el comportamiento de la gente son elementos primordiales del éxito de un proyecto.

Además, para una participación adecuada, el personal necesita que se les provea con información relevante al caso. Una buena estrategia en este punto puede comenzar proporcionando al personal el conocimiento adecuado y haciéndoles saber el comportamiento esperado, teniendo en cuenta las diferentes actitudes de las personas. Y que dicho enfoque en el caso del personal de supervisión sea trasladado luego de manera análoga al personal que cada uno tenga a su cargo.

Un ejemplo significativo de participación es el conocido concepto del “buy in” que en nuestro caso puede aplicarse diciendo que la gente “comprará” un plan de seguridad si ha participado activamente en el proyecto.

El Compromiso responde al involucramiento de las personas en las metas de un proyecto. Suele decirse que el compromiso es concomitante de la participación. Más exacto probablemente es decir que una participación directa adecuada conduce a un mejor compromiso en la formación de la Responsabilidad correspondiente, incluyendo el establecimiento de roles que faciliten la auditoría de la aplicación de estos conceptos.

El compromiso puede verse en función tanto de factores organizacionales situacionales como del factor de la predisposición personal de cada uno. También se lo puede considerar como una construcción multidimensional, los individuos del grupo y las razones que motivan la adhesión de cada uno al grupo.

En nuestro caso, el compromiso se puede lograr partiendo de una definición clara de metas y objetivos para que el personal se involucre y comprometa en un proyecto como el de seguridad; en primer término los principales ejecutivos de la empresa como foco de difusión, así como en forma especial los miembros del Foro (ver recuadro Foro de Gestión) que habitualmente instalamos en nuestros proyectos de seguridad.

La aplicación del concepto “buy in” puede no ser suficiente para algunos integrantes del Foro de Gestión. Son los que, además de discutir la redacción y aplicación de los controles de seguridad, después tendrán que coordinar posteriormente sus respectivos grupos operativos, asumiendo la responsabilidad de manejar de manera similar al personal correspondiente. Se necesita entonces también propender a un nivel adecuado de liderazgo.

Los coordinadores y supervisores pueden llegar a ser los más influyentes en la motivación del personal para el cambio, y ayudarlos en la transición correspondiente. Por eso deben recibir una atención especial, incluso primeramente para convencerlos de la necesidad de cambios.

Su trabajo incluirá también promover la formación de valor en la gestión en su personal, asumiendo la responsabilidad de actuar sobre ellos para transformar las conductas que hagan a los cambios que implica un plan de seguridad.

Una de las formas más eficaces de lograr este objetivo es por medio de reuniones individuales adicionales al Foro de Gestión, complementadas con reuniones grupales de coordinadores/supervisores, que pueden servir para compartir ideas y experiencias, al tiempo que el centro de la escena se corre del capacitador principal, con la ventaja que eso significa. También, es un buen escenario para discutir innovaciones que impliquen mejoras en los procesos de cambio correspondientes a la implantación de medidas de seguridad.

Aunque en general se necesita promover en forma conjunta el compromiso y la participación, e incluso suele decirse que no hay compromiso sin participación, puede haber excepciones aceptables. Es por ejemplo el caso de ejecutivos que aunque no participen activamente en un proyecto, igualmente establecen el compromiso y asumen la responsabilidad dada por el apoyo necesario para promover y sostener el proyecto.

FORO DE GESTIÓN El propósito del Foro de Gestión en un proyecto de seguridad de la información es la participación de las personas a las que atañen las políticas y controles que se deben implementar, dentro de un marco dialéctico. De esta manera se busca lograr un consenso lo más amplio posible en la redacción de las medidas correspondientes facilitando así su puesta en vigencia.

El Foro de Gestión responde a un mecanismo colectivo de participación de composición dinámica. No es un único grupo sino que para cada tema se forma un grupo con las personas que guarden relación por sus propias actividades.

Para ello se manejan grupos ad hoc del tipo mixto multifuncional, es decir, de distintas áreas y niveles jerárquicos de la empresa, para lo cual debe haber personal con cierto nivel de capacidad para tomar decisiones tales como coordinadores y supervisores, personal técnico de Sistemas y Tecnología, y usuarios de operaciones de las áreas en cuestión.

Estos últimos son importantes, porque los trabajadores que realizan el trabajo del día a día ven los defectos, errores y fallas, tiempos perdidos y otras características que pueden necesitar tratarse. Son los que pueden decir cuán fácil o difícil resultará de llevar adelante un control o política, haciéndolos realmente aplicables e incluso facilitando posteriormente la medición de su efectividad, determinación que hoy día puede basarse en la ISO 27004, por ejemplo mediante el uso del Balanced Scorecard (BSC).

Los técnicos, por su parte, muchas veces tienen cuestiones propias del área con relación a las medidas de seguridad, y además pueden aclarar las interacciones con otros controles.

Finalmente el personal decisor con su comportamiento y participación es el que deberá apoyar definitivamente la adopción de las medidas correspondientes.

Para que el Foro de Gestión sea productivo y eficaz debe reunir en sus objetivos:
a) Propiciar un ambiente de colaboración y apoyo recíproco entre sus integrantes, facilitando que las personas se manifiesten y ofrezcan sugerencias.
b) Motivar y crear conciencia del trabajo que se realiza.
c) Facilitar una mejor comunicación entre el personal en general y los de mando que participen.

La participación, compromiso y responsabilidad de los miembros de un Foro de Gestión simplifican la transferencia a terceros de los alcances de cada control, reduciendo la resistencia natural a las medidas de seguridad y facilitando su aceptación.

CULTURA CORPORATIVA
La Cultura Corporativa concibe la organización como una malla organizativa. Surge a partir de los Valores establecidos con la Misión de una empresa, valores que son las creencias, costumbres y prácticas que comparten los que manejan una organización.

La cultura corporativa de una organización tiene diferentes componentes que pueden categorizarse como sigue. Hay formas del tipo funcional que se basan en las jerarquías y la estructuración del trabajo. Otras se adaptan a los procesos de trabajo según las demandas del mercado. Y finalmente están las que buscan maximizar el rendimiento de los recursos propios.

En una organización conviven diferentes proporciones de estas manifestaciones de cultura. Generalmente la forma funcional es la más reacia a los cambios.

Para mejorar la seguridad y específicamente la aceptación de las medidas correspondientes se requiere un cambio de creencias, actitudes y comportamiento tanto individual como grupal. En este punto, y tal como se comentara antes, la interpretación del comportamiento de las personas es crítica para comprender el escenario de un cambio de la cultura corporativa.

Para lograr los cambios deseados hay que procurar por medio de sucesivas charlas a niveles gerenciales, que estas personas lleguen a considerar la seguridad de la información como parte de las propias estrategias corporativas y por ende de la gestión y riesgos de negocios [5]. Esta es la visión que va más allá de lo estrictamente técnico que durante mucho tiempo ha venido dejando en un segundo plano las características más profundas de la seguridad de la información.

Por su parte, las charlas de concientización y educación a nivel personal y grupal extendidas a toda la organización constituyen un pilar fundamental especialmente en cuanto a los riesgos operacionales. Estas charlas fomentan la integración de la seguridad de la información en la cultura corporativa, y se potencian usando técnicas de Psicología Social.

A veces no es fácil conseguir una audiencia plena para producir mejores resultados. Una oportunidad que se nos ha dado, surge cuando las empresas ya trabajan con Kaizen como estrategia que promueve actividades con participación del personal para la solución de problemas y la mejora continua de los procesos. Kaizen, por cierto, también se enfoca fuertemente en el tema de la participación y compromiso comentado antes.

La integración de las charlas generales de seguridad en las sesiones de Kaizen puede entonces resultar beneficiosa puesto que estas últimas generalmente concitan mayor interés y dedicación, además de ser promovidas específicamente por la alta gerencia en la mayoría de los casos.

DISCIPLINAS DE SOPORTE
La Psicología Social ya mencionada trata principalmente los grupos y el comportamiento en las interacciones entre las personas. Ofrece un adecuado aporte en cuanto a la comunicación y aprendizaje, la coordinación de grupos operativos, y en general las cuestiones que ayudan a comprender cómo trabajar mejor con las preferencias y predisposiciones de las personas. Ha venido resultando nuestro principal apoyo.

Adicionalmente la Psicología Conductista puede aportar una visión interaccionista entre el individuo y los individuos, aunque por otro lado puede limitar la concepción de algunas características de las personas en relación con los fenómenos sociales.

Especialmente en el ámbito de la comunicación puede ayudar el PNL o Programación Neurolinguística. El PNL se enfoca en el individuo y la comunicación verbal y no verbal -es decir gestos, posturas, tono de la voz, etc- que surgen de las relaciones interpersonales en cuanto a su contribución a los cambios buscados. El PNL permite comprender cómo las personas organizan sus pensamientos, sentimientos, lenguaje y comportamiento en sus acciones y en la producción de resultados.

También se destaca el Coaching que, con distinta estructura y contexto, tiene puntos en común con el PNL, como por ejemplo el cambio y las formas de lograrlo, aunque también busca mejorar el rendimiento y orientar al liderazgo. El Coaching es una herramienta muy adecuada para la atención requerida hacia los coordinadores y supervisores ya comentada antes, especialmente en el análisis del Compromiso y Responsabilidad.

BASES DE UN PROGRAMA DE ACCIÓN
Como todo programa de cambio se requiere una adecuada planificación, la identificación de los requerimientos y cuestiones claves, el análisis del origen de las situaciones que se plantean, y la determinación y desarrollo de las acciones a realizar.

Conforme los antecedentes reunidos y comentados hasta aquí un programa típico puede estructurarse como sigue.

En primer lugar se trabaja con cuestionarios para detectar los conocimientos, actitudes y comportamiento del personal involucrado en el proyecto de seguridad.

Estos cuestionarios se preparan teniendo presente siempre a las personas que van a contestar, y en base a tres grupos diferentes: usuarios en general, técnicos y personal gerencial. En el primer caso se trabaja con preguntas cerradas, es decir las que dan lugar a respuestas breves y concretas. Por el contrario para los técnicos y el personal gerencial algunas preguntas se redactan en forma abierta como para dar lugar a recibir mayores detalles.

A su vez, cada cuestionario se confecciona en tres partes. Una para establecer qué saben (conocimiento) las personas de las políticas y normas de seguridad. Otra para visualizar qué piensan (actitud) respecto de la seguridad y cómo la ven. Y finalmente, una tercera para detectar cómo actúan (comportamiento) frente a responsabilidades como por ejemplo la elección de contraseñas, cuidado con papeles y documentos en sus escritorios, etc.

En cuanto a la comunicación se trata de tener en cuenta los aspectos comentados especialmente en cuanto a resistencia al cambio, actitudes, comportamientos, y las consideraciones hechas en el recuadro Foro de Gestión

El proceso comunicacional se basa en charlas generales y reuniones individuales en el caso de los ejecutivos y algunos técnicos. En general en las primeras charlas y siempre que se considere necesario se busca iniciar las sesiones motivando la participación por medio de comentarios ajenos a la seguridad, buscando así vencer el escepticismo y posiciones a la defensiva que pueden tener algunas personas.

Especialmente en las conversaciones individuales hay que considerar la personalidad de la otra parte, como ya se comentara antes, para manejarse así en un escenario en que pueda sentirse cómodo. Es de gran importancia tener en cuenta los habilitadores y bloqueadores en las personas entrevistadas identificando, como ya se dijo, motivadores que puedan apalancar los habilitadores y ayudar a sobreponerse a los bloqueadores. Pese a que pueda ser frustrante sobre todo al principio, la resistencia al cambio en algunas personas puede reducirse y hasta producir buenos resultados, especialmente si un diálogo sincero y el conocimiento de sus inquietudes se transforma en vehículo de una retroalimentación constructiva.

CONCLUSIONES
La problemática del Factor Gente constituye un tema muy poco conocido, investigado o considerado por parte de los expertos en Seguridad Informática, o sea técnica, lo que amerita su inclusión en Postgrados en Seguridad de la Información, enfocados especialmente en los riesgos organizacionales y operacionales, además de los conocidos riesgos TIC.

La experiencia ganada con el tiempo enriqueció las premisas iniciales de cómo resolver la incertidumbre original de escenarios de este tipo y similares que provocan cambios.

Una prueba piloto resultó al incluir hace casi tres años el tema del Factor Gente en un Trabajo Práctico del curso de Gestión y Auditoría de Riesgos y Seguridad de la Información, sorprendiéndonos el interés y dedicación observados en los asistentes a diferentes presentaciones de dicho curso.

Todo esto se amplió considerablemente al incorporar el tema en los trabajos específicos de proyectos de seguridad. Uno de los puntos más trascendentes fue tomar la decisión de incorporar un profesional de Psicología Social que acompañe al Foro de Gestión y a las reuniones individuales y grupales a modo de facilitador o agente dinamizador de las tareas a realizar y que, además, con su intervención movilice las objeciones y obstáculos que se presenten para producir soluciones adecuadas, propendiendo a que se establezca un entramado de relaciones vinculares manteniendo la bidireccionalidad de los vínculos.

Creemos que el material presentado puede constituir una guía introductoria para mejorar el manejo de los distintos aspectos de la conducta humana. Y útil también para reconocer las características de las personas con que se trabaja y, por extensión, que puedan transferir al personal a su cargo, conductas adecuadas a la seguridad de la información.

RECONOCIMIENTO
A Norma Robledo, Licenciada en Psicología Social, por los comentarios, observaciones y material que nos facilitara, así como por disparar el interés especial en los temas que coadyuvaron a nuestros objetivos principales.

REFERENCIAS
[1] Ormella Meyer, C.A., “Seguridad Informática vs. Seguridad de la Información”, Página Web de la CEyTIC, Comisión de Electrónica y Tecnología de la Información y Comunicaciones del Centro Argentino de Ingenieros: http://www.cai.org.ar y pestañas Dto.Técnico/Comisiones Técnicas/Electrónica y TIC/Publicaciones.
[2] Kabay, M.E., “Using Social Psychology to Implement Security Policies”, Página Web: http://www.mekabay.com/infosecmgmt/soc_psych_INFOSEC.htm
[3] Lucey David, "Managing the Human Factor in Information Security", John Wiley & Sons, 2009.
[4] Gupta Manish, Sharman Raj, "Social and Human Elements of Information Security, Emerging Trends and Countermeasures", Barnes and Noble, 2008.
[5] Ormella Meyer, C.A., “Estrategias Corporativas y Seguridad de la Información”, Página Web de la CEyTIC, citada en [1].

¹ Lo denominamos factor gente en lugar de factor humano porque “gente” involucra al individuo y al colectivo.

Copyright ©2011. Carlos Ormella Meyer.

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

ROSI, Retorno Sobre la Inversión en Seguridad

Abstract

ROSI es el Retorno Sobre la Inversión en Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión, donde dicho retorno es la ganancia neta, es decir, la diferencia entre el beneficio o ingreso bruto y la inversión. En tal sentido ROSI también busca relacionar los beneficios y costos de una inversión, en este caso respecto a la seguridad de la información.

Sin embargo el ambiente de análisis no es tan similar al de un ROI que como resultado de una inversión apunta directamente a determinar beneficios "positivos", es decir, ingresos monetarios efectivos en el flujo de caja de una empresa.

En el caso de ROSI la situación es algo diferente. Efectivamente, frente a las pérdidas que pueden producirse como consecuencia de incidentes de seguridad tales como ataques, fallas o errores, ROSI se aplica para identificar cuánto ahorraría o dejaría de perder una empresa, gracias a un sistema o proyecto de seguridad que mitigue los efectos correspondientes a tales incidentes.

Esto nos dice que la reducción en las pérdidas es de hecho un beneficio, por lo que por comparación con el ROI aquí podríamos decir que ROSI relaciona la reducción en las pérdidas ocasionadas por incidentes de seguridad con los costos que demande tal reducción.

Las pérdidas se mitigan gracias a la implementación de salvaguardas o contramedidas de seguridad. La determinación de tales salvaguardas puede hacerse trabajando, por ejemplo, dentro del marco de trabajo de la norma de seguridad ISO 17799 y la metodología establecida por la ISO 27001, anteriormente la BS 7799-2) para la implementación del SGSI (Sistema de Gestión de Seguridad de la Información), en base al análisis gap entre los resultados de una valuación de riesgos y los controles de seguridad de las normas.

La diferencia entre las pérdidas originales y las resultantes luego de implementar las salvaguardas en cuestión es el ahorro o beneficio mencionado antes, una suerte de ingreso o beneficio indirecto, con lo que adquiere características del valor de las salvaguardas aplicadas. Estas salvaguardas, a su vez, tienen su costo.

Yendo al cálculo específico del ROSI, siempre en base al ROI, resulta ser igual a la relación entre el retorno y el costo de las salvaguardas (la inversión en el ROI). El retorno, por su parte, puede verse como la ganancia incremental sobre el costo (la inversión en ROI) y, por lo tanto, resulta en este caso igual al valor de las salvaguardas menos el costo de las mismas. En definitiva tendremos:
ROSI = Retorno/Costo = (Valor - Costo)/Costo.

Para que un proyecto sea en principio aceptable, ROSI debe ser positivo, lo que ocurre cuando el valor es mayor que el costo.

Para determinar ROSI tenemos entonces que trabajar con dos variables: Valor y Costo de las salvaguardas. El cálculo de dichas variables resulta de definir que:
a) El Valor de las Salvaguardas es igual a las pérdidas totales originales por incidentes sin tratar menos las pérdidas totales con los incidentes mitigados por las salvaguardas.
b) El Costo de las Salvaguardas es igual a la Inversión Inicial más los Gastos Recurrentes. Estos gastos son los que se repiten periódicamente a lo largo del ciclo de vida del proyecto tales como licencias, mantenimiento, actualización, etc.

Para calcular las posibles pérdidas que puede producir cada incidente, se emplea la métrica de gestión de riesgos conocida como ALE (Expectativa de Pérdidas Anualizadas) que responde a un modelo cuantitativo.

ALE es igual al producto de dos variables: el valor probable del impacto monetario de un incidente, y el de la frecuencia anual de ocurrencia de dicho impacto.

Para cada variable se establece una serie de posibles valores discretos con el objeto de cubrir el espectro esperado completo. Para las frecuencias de ocurrencia, desde una muy baja frecuencia (por ejemplo, una vez cada diez años) hasta una elevada frecuencia (por ejemplo, una vez por día). Para los impactos, desde un valor pequeño hasta uno de gran magnitud. Las series generalmente son de cinco o más valores, y no necesariamente la cantidad de valores tiene porqué ser igual en ambas variables.

Ahora bien, ALE es un concepto típico de gestión de riesgos y fue estipulado hace casi 30 años. No contempla en forma explícita el efecto de las vulnerabilidades, componente que junto con las amenazas y los activos constituyen los tres factores determinantes de los riesgos de seguridad de la información. Efectivamente, hoy en día está claro que los activos pueden tener vulnerabilidades que pueden facilitar la acción de las amenazas sobre dichos activos.

Sin embargo, el impacto del ALE puede tomarse como un porcentaje del valor del activo en cuestión; es el llamado Factor de Exposición, que en nuestro caso puede verse como el efecto de las vulnerabilidades de dicho activo. Si el nivel de vulnerabilidades de un activo es alto, mayor será dicho factor y el impacto tenderá al valor del activo; si en cambo el nivel de vulnerabilidades es bajo, el factor disminuirá y el impacto será consecuentemente menor que el valor del activo; y finalmente si el activo no ofrece vulnerabilidades, el factor valdrá cero y no habrá impacto posible.

Aclarado el concepto extendido del ALE, resta su cálculo para cada uno de los incidentes en una tabla para cada escenario, el original sin tratar y el tratado o mitigado. En cada caso se determinan las pérdidas anuales totales, sumando los ALEs de todos los incidentes considerados.

Adicionalmente, en el escenario de incidentes mitigados se tabulan también las contramedidas propuestas junto con sus costos iniciales y gastos recurrentes anuales. También aquí se suman al final para establecer los totales de costos iniciales y gastos recurrentes de las salvaguardas.

La diferencia entre las pérdidas de las tablas de ambos escenarios será el valor de las salvaguardas totales, mientras que su costo total quedará también determinado en la tabla de incidentes mitigados. Con todo esto se puede determinar el ROSI correspondiente.

Sin embargo, hay que tener muy en cuenta que todo el proceso de cálculo surge de estimaciones de expectativas tanto de valores de impacto como de frecuencias de ocurrencia. Y que, además, dichas estimaciones se manejan con series de valores discretos, de modo que los valores intermedios en realidad quedan sin cobertura o sujetos a más apreciaciones, todo lo cual guarda un margen importante de incertidumbre.

El resultado es que esta situación generalmente no es muy aceptada, e incluso cuestionada, por parte del área financiera/administrativa de una empresa, precisamente por la volatilidad de los datos, y la imprecisión y errores en su determinación.

Frente a esta situación, una solución efectiva a estas disyuntivas parte de recurrir a la teoría de la toma de decisiones, que nos dice que en condiciones de riesgo los problemas que se plantean pueden analizarse por medio de la teoría estadística y de probabilidades.

A partir de este enfoque corresponde asignar a cada variable:
a) Una serie de rangos de valores, cada uno con un mínimo y máximo por debajo y arriba respectivamente de los valores usados originalmente como valores discretos.
b) Un tipo de distribución estadística (o sea la forma en que se distribuyen las probabilidades en un rango de valores). En general para este tipo de trabajos se asume una distribución uniforme para las frecuencias de ocurrencia, y una distribución triangular para los impactos. La distribución uniforme asigna igual probabilidad a todo un rango. La distribución triangular, en cambio, tiene en cuenta que el valor "central" o más probable no caerá en el medio de la distribución puesto que en general los impactos (recordar que son valores monetarios) si bien podrían resultar algo menores de cada estimación, pueden llegar a ser bastante mayores. El resultado es un triángulo escaleno, lo que se conoce como una distribución asimétrica sesgada a la derecha, o sea hacia los valores mayores. Para aplicar la distribución triangular hace falta establecer no sólo el mínimo y máximo como se dijo antes, sino también el valor más probable mencionado.

Pero el modelo así establecido sigue siendo estático. Habría que estar haciendo a mano múltiples cálculos dentro de cada distribución y considerar los resultados en conjunto. En consecuencia, se necesita un mecanismo que, a partir de las variables de entrada y sus distribuciones, realice automáticamente dichos cálculos en forma independiente entre sí para que los resultados tiendan a un valor consistente.

Esta consistencia es factible conforme un teorema de probabilidad estadística: la Ley de los Grandes Números. Este teorema indica que los resultados finales tenderán a un valor "central" o más probable.

La simulación Monte Carlo puede ser el mecanismo adecuado para llevar adelante este proceso. La simulación Monte Carlo es un método que consiste en generar una y otra vez números aleatorios que para el caso se aplican a cada variable de entrada en base a la distribución estadística de cada una de ellas, y así producir muestras de los resultados que conformen lo definido en el párrafo anterior.

En nuestro caso, el proceso en cuestión se aplicará sobre los datos del escenario inicial sin tratar, así como al tratado con las salvaguardas para determinar así el ahorro que se produzca.

Cada uno de estos resultados se presenta, tal como se ve en la figura, como un histograma de las distribuciones de frecuencias de probabilidades para diferentes rangos de la variable de salida, así como las frecuencias acumuladas correspondientes.

A modo de ejemplo, analizando la gráfica acumulada del ahorro, se podría concluir por caso que hay un 90 % de certidumbre que el valor de las salvaguardas estará entre un mínimo y máximo adecuadamente acotados.

Los resultados presentados en la figura corresponden a una simulación limitada en el número de muestras. Para mayor precisión, las muestras debieran ser al menos de varios miles, como lo permiten los productos comerciales de simulación que trabajan como add-ins de Excel. Incluso de esta manera la respuesta se aproximará a la prevista por los teoremas mencionados.

Adicionalmente la simulación Monte Carlo puede facilitar el trabajo con un modelo cualitativo a nivel de las variables de entrada. Esto puede ser muy útil en situaciones en que es bastante difícil o complicado establecer valores numéricos para los impactos y frecuencias de ocurrencia de los diferentes incidentes.

La base de un proceso como el planteado reside en la valuación de riesgos, a partir de criterios precisamente cualitativos por ejemplo del tipo Bajo-Medio-Alto de impactos y frecuencias de ocurrencia del ALE. Este tipo de estimaciones, pese a no ser preciso en valores, puede ser más certero en los resultados puesto que a quien hace la estimación no se le estipulan niveles numéricos. Será luego tarea del analista, el mapear cada nivel (en la práctica generalmente se usan más de tres) a los rangos cuantitativos usados en el ALE.

Gracias a todo esto se pueden derivar estimados cuantitativos razonables de beneficio-costo a partir de criterios cualitativos de impactos y frecuencias de ocurrencia. Además, la determinación de las contramedidas necesarias puede analizarse con mayor facilidad por medio de una matriz de riesgos, a partir de niveles cualitativos de los factores que los determinan.

En otro aspecto, acotaremos que un proyecto de seguridad debiera encararse como cualquier otro proyecto de negocios que tenga en cuenta el valor del dinero en el tiempo, es decir lo que diferencia una misma cantidad hoy, de aquí un año, dos, etc. Para ello los valores futuros de beneficios se traen a valores presentes o actuales aplicando un descuento que podría ser un interés del tipo bancario.

De esta manera se pueden calcular otros indicadores financieros, como por ejemplo el Valor Actual Neto (VAN o NPV) que puede verse precisamente como el retorno correspondiente del ROSI, y que establece un valor monetario. Esto puede ser muy importante como complemento del ROSI que hemos calculado, que por ser porcentual nada nos dice en forma explícita de los montos de los beneficios de un plan de seguridad.

ROSI puede resultar de gran utilidad especialmente en el análisis de un proyecto de seguridad que realice el área de finanzas o administración de una empresa. Aquí es donde ROI es conocido, por lo que un plan de seguridad debiera aportar algo similar a cualquier otro proyecto presentado a estas gerencias. De hecho se trata no sólo de convencer a los decisores sino incluso competir por recursos especialmente financieros con proyectos de otras áreas de la empresa.

Mientras un análisis basado en ROSI puede ser suficiente por sí mismo, también podría llegar a constituir el componente financiero del caso de negocio que representa un proyecto de seguridad. De hecho, un caso de negocio es algo que preferirían escuchar niveles de decisión gerenciales, no precisamente técnicos, como los mencionados antes.

© 2011 - Carlos Ormella Meyer

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

METRICAS DE LA EFECTIVIDAD DE LA CONCIENTIZACIÓN

Los planes de concientización especialmente en seguridad de la información han sido muchas veces terreno fértil de opiniones discordantes, especialmente en cuanto a su real efectividad incluso frente a la inversión que requieren. Qué temas tratar, cómo y con cuánta regularidad.

Un sistema para medir la efectividad de las charlas/jornadas de seguridad debe proporcionar la información necesaria para responder adecuadamente a los tres interrogantes planteados antes, así como también facilitar el establecimiento de prioridades en cuanto a la repetición de dichas charlas.

El objetivo de este trabajo es mostrar una metodología práctica y consistente para verificar la efectividad de los planes de concientización en cuanto por ejemplo a los diferentes Temas o Reglas de Seguridad tratados en las charlas en cuestión.

El Nivel de Adhesión a tales Temas logrado por parte de las personas que han participado de un plan de concientización se puede verificar según diferentes Criterios con los que se pueden considerar los Temas en cuestión.

Tendremos entonces un cierto número de Temas, con diferentes importancias o prioridades relativas o Peso Relativo, de modo que cada Tema se pondera porcentualmente para un total igual a uno para la totalidad de los Temas.

De manera similar, los diferentes Criterios tendrán su importancia o prioridad relativa o Peso Relativo de modo que cada Criterio se pondera también porcentualmente para un total igual a uno para la totalidad de los Criterios.

En ambos casos, Temas y Criterios, la situación puede analizarse recurriendo a la Función de Valor como el método más empleado del MCDA (Análisis de Decisiones con Múltiples Criterios).

En lo que sigue, para una mejor comprensión hemos optado por revisar primero el Proceso de Obtención de Datos y luego el Cuadro de Resultados obtenidos con dichos datos.

PROCESO DE OBTENCION DE DATOS
Para llevar adelante todo el proceso mencionado antes se requiere establecer los Temas, los Criterios con que se analizará el Nivel de Adhesión a los Temas, y los Pesos Relativos de cada uno de los Temas y de cada uno de los Criterios.

Primero hay que considerar que los Temas responden a los tratados en el plan de concientización, como por ejemplo Nivel de Adhesión a las Políticas de seguridad de la empresa, Manejo y gestión de contraseñas, Uso del equipamiento móvil, Manejo de documentación en papel, Uso del email e Internet, Reacción ante incidentes, etc.

En segundo término, para establecer el Nivel de Adhesión a dichos Temas se puede recurrir a técnicas propias de la Psicología Social conforme al aporte a dicha Adhesión en cuanto, por ejemplo, a qué sabe, qué siente y qué hace una persona respecto de cada Tema, lo que implica respectivamente el Conocimiento, la Actitud y el Comportamiento, aspectos éstos que involucran lo que denominamos el Factor Gente [1].

De esta manera puede medirse la adhesión o aceptación no sólo del conocimiento transferido, sino también de la actitud que toman esas personas respecto de dicho conocimiento, y del comportamiento que asumen cuando tienen que aplicar dicho conocimiento.

Para el caso se usan cuestionarios cerrados de dos o tres respuestas posibles tales como Verdadero/Falso y en algunos casos también No Sabe.

A modo ilustrativo, presentamos tres ejemplos:
Tema: Políticas – Criterio: Conocimiento
“En el caso de manejo de datos sensibles es suficiente mantener la confidencialidad de los archivos electrónicos y los documentos impresos.”

Tema: Internet – Criterio: Actitud
“Ud. puede desentenderse de la posibilidad de mensajes Spam puesto que la empresa tiene instalado un mecanismo de detección de los mismos.”

Tema: Contraseñas – Criterio: Comportamiento
“Como Ud. tiene que usar varias contraseñas y puede olvidarlas, las guarda escritas en un lugar oculto de su escritorio que incluso cierra con llave al retirarse al fin del día.”

Y tercero, los Pesos Relativos de cada uno de los Temas y de cada uno de los Criterios se pueden establecer o bien a partir del conocimiento y/o experiencias propias o de terceros, o bien mediante la aplicación del AHP (Proceso de Análisis Jerárquico).

El método AHP es el indicado cuando hay más de tres variables, y en todos los casos cuando las comparaciones de a pares de las variables resultan de opiniones subjetivas independientes entre sí, que no guardan relaciones directas entre sí.

La solución en estos casos implica trabajar con matrices para determinar el llamado eigenvector, donde los valores normalizados de sus componentes darán los porcentajes buscados.

CUADRO DE RESULTADOS
Veamos la aplicación de la Función de Valor para el análisis de los diferentes Temas en cuanto a la Adhesión a cada uno conforme Criterios establecidos, y teniendo a la vista el Cuadro de Excel que se muestra en la página siguiente, y en el que las celdas se han semaforizado según las condiciones establecidas en la parte inferior del mismo.

Primeramente describiremos las diferentes partes del cuadro para después comentar los valores mostrados en el mismo.

Partes del Cuadro de Resultados
En este cuadro se presentan a la izquierda los diferentes Temas con los Pesos Relativos que les hemos asignado en cada caso, mientras que en la parte superior de las tres columnas de Criterios, se identifican los mismos, también con los Pesos Relativos que les hemos fijado a cada uno.

En la parte central de este cuadro se encuentran diferentes porcentajes con valores que por ejemplo van desde el 46% para el primer Tema y primer Criterio hasta el 29% del último Tema y último Criterio.

Dichos valores señalan los Niveles de Adhesión a cada Tema desde el punto de vista de cada Criterio.

Tales Niveles de Adhesión son el resultado de las respuestas a Cuestionarios para medir precisamente la Adhesión o conformidad o cumplimiento por parte de los asistentes a las jornadas/charlas del plan de Concientización y/o Capacitación correspondiente, con respecto a los diversos enfoques de los diferentes Temas tratados durante el evento.

Por su parte, la columna de la derecha referida a cada Tema y la fila inferior correspondiente a cada Criterio totalizan Resultados. La columna de la derecha, las Funciones de Valor para cada Tema respecto de todos los Criterios. La fila inferior, las Funciones de Valor de todos los Temas respecto de cada Criterio.

Finalmente, el valor de la columna de la derecha y última fila (55%) corresponde a la Función de Valor Total de todos los Temas respecto de todos los Criterios.

Valores del Cuadro de Resultados
Revisemos ahora los valores mostrados en el cuadro.

En primer lugar la Función de Valor para un Tema determinado respecto de un Criterio en particular estará dada por el producto del Nivel de Adhesión al Tema según dicho Criterio y el Peso relativo del Criterio en cuestión.

Por ejemplo, en el cuadro se tiene que el Nivel de Adhesión al Tema Políticas en cuanto al Criterio del Conocimiento es del 46%.

Por lo tanto y puesto que el Peso Relativo del Criterio en cuestión se fijó en un 30%, la Función de Valor correspondiente será igual a:
46% * 30% = 13,8%.

Por extensión, la Función de Valor para un Tema determinado respecto de todos los Criterios será la sumatoria de los resultados obtenidos para cada uno de los Criterios.

Tomando como ejemplo de nuevo el caso del Nivel de Adhesión al Tema Políticas, tendremos los aportes de los tres Criterios: Conocimiento, Actitud y Comportamiento.

Sumando entonces las correspondientes Funciones de Valor para cada Criterio se obtiene la Función de Valor del Tema Políticas, de forma tal que expresando los porcentajes como enteros el Nivel de Adhesión para cada Criterio, y como fracciones para los Pesos Relativos de cada Criterio, tendremos:
46 x 0,3 + 53 x 0,2 + 35 x 0,5 = 42 % en números redondos.

Análogamente, la Función de Valor para todos los Temas respecto de cada Criterio estará dada por la sumatoria del Nivel de Adhesión a cada Tema por el Peso relativo del Criterio en cuestión.

En este caso tendremos por ejemplo para el Criterio de Actitud:
(53+76+67+65+36) * 0,2 = 61%

Finalmente, la Función de Valor para todos los Temas analizados será igual a la sumatoria de la Función de Valor de cada uno de los Temas por el Peso relativo del Tema correspondiente en cada caso.

En nuestro caso tendremos a partir de los datos de la columna de la derecha:
42 * 0,2 + 76 * 0,25 + 55 * 0,25 + 61 * 0,15 + 36 * 0,15 = 55 % como Función de Valor Total de Temas y Criterios, y que evidentemente mide la efectividad total del plan de concientización.

Al mismo resultado se llega por medio de la sumatoria de los productos de la Función de Valor de cada uno de los Criterios por el correspondiente Peso relativo del Criterio correspondiente en cada caso.

COMENTARIOS FINALES
El 55% obtenido antes como Función de Valor Total de Temas y Criterios, muestra que el resultado del plan de concientización ha sido más bien regular.

Pero hay más; si se revisa cada uno de los valores obtenidos surge que la parte débil del programa de concientización reside en los Comportamientos cuestionables en varios de los Temas, especialmente en el de Incidentes.

Por otra parte, también se pueden sacar conclusiones respecto a los Temas tratados en su conjunto.

De esta manera se pueden establecer prioridades en la repetición de las charlas correspondientes. En nuestro caso, por ejemplo, el tema Incidentes debería tener prioridad en tal sentido, seguido por el de Políticas y posteriormente por el de E-mail e Internet, que muestra un pobre resultado en cuanto a Comportamiento.

Otro punto que puede motivar nuevos análisis es el de los Pesos Relativos. El más evidente podría ser el referido a los Criterios. Por ejemplo, quizás haya quienes preferirían disminuir el porcentaje asignado al Conocimiento y aumentar el de Actitud.

Algo parecido podría ocurrir con los Pesos Relativos de los Temas.

De cualquier manera, especialmente en el caso de los Temas, las ponderaciones simples pueden resultar demasiado subjetivas. Mejores resultados se pueden obtener aplicando el método AHP ya comentado.

Por último, conviene advertir que el Cuadro de Resultados obtenido puede resultar muy indicativo y útil a nivel gerencial de Seguridad de la Información e incluso de Riesgos.

Pero para la alta gerencia y aún para otras gerencias medias, el cuadro en cuestión presenta “demasiados números” que no atraerían la atención necesaria.

Para tales escenarios es mejor preparar una gráfica tipo “radar”, muchas veces usada y conocida en dichos niveles gerenciales, donde los resultados más bien se observan a partir de los colores de una semaforización como la mostrada en el cuadro con que trabajamos antes.

Finalmente, y más allá del área específica de Seguridad de la Información, se puede decir que dada la fortaleza aportada por la Función de Valor, esta metodología puede usarse también en otros escenarios en los que sólo haya que considerar Temas, es decir, donde no corresponda aplicar factores psicológicos.

Un caso en tal sentido es cuando se realiza la valuación y auditoría del estado de preparación o cumplimiento de una empresa en cuanto a la Gestión de Continuidad de Negocios, BCM.

[1]: Ver "El Factor Gente y la Seguridad de la Información" en www.angelfire.com/la2/revistalanandwan/articulos.html#fgs

Copyright ©2013. Carlos Ormella Meyer.

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

El ROI de la Seguridad y las Primas de Seguro

Introducción
Los temas de seguridad de la información se están volviendo cada vez más importantes en los intereses de una organización, en cierta medida por las leyes y regulaciones que vienen apareciendo, y también especialmente cuando se visualiza su contribución a los números financieros (1).

Incluso desde hace relativamente poco se está dando la “extensión” del concepto de seguridad informática al de seguridad de la información. Ya no basta hablar exclusivamente de riesgos de carácter técnico o sea de TIC o ICT (IT y Comunicaciones), sino que también hay que incorporar especialmente los riesgos operacionales. Si bien este tema siempre existió, viene teniendo mayor presencia e influencia en parte debido a la implementación del Nuevo Acuerdo de Capitales Basilea II para bancos internacionales. Ocurre que precisamente un tratamiento adecuado de los riesgos operacionales permite reducir las exigencias en los encajes bancarios ajustados a las directrices de Basilea II.

Las normas internacionales de seguridad juegan un papel crucial en estas nuevas problemáticas. La norma ISO 27002 (anteriormente ISO 17799) ofrece una visión holística de la seguridad de la información a nivel corporativo. Las recomendaciones de esta norma se extienden en forma integral a todas las funcionalidades de una organización, no sólo a las correspondientes a cada área sino también a las interacciones entre las mismas. Esta norma por cierto se complementa con la ISO 27001 que establece los requisitos para la implementación de un sistema de gestión de seguridad de la información (SGSI), contando además con toda una serie de normas llamada a veces 27k, de las cuales ya hay varias publicadas.

Con estas normas puede usarse la metodología del mapeo de requisitos de diferentes regulaciones, tales como Basilea II, Sarbanes-Oxley y Continuidad de Negocios, a controles de seguridad de dichas normas. En Argentina incluso tal criterio se usa con las disposiciones de la Dirección Nacional de Protección de Datos Personales en el ámbito del cumplimiento a la Ley 25.326 de Habeas Data. Cualquiera de estas implementaciones con la adecuada definición de su alcance podrían llegar a certificarse conforme las especificaciones de la ISO 27001 que, por cierto, usa un marco de trabajo común al de la ISO 9001 de Calidad y otras normas similares.

Todo este panorama, desde la extensión de los escenarios de riesgos hasta las obligaciones legales, implica de hecho un incremento en los costos relacionados con la seguridad. Por tal motivo, cada vez es más importante su análisis para justificar tales costos como inversiones, frente al concepto clásico de que dichos costos son simplemente gastos a los efectos contables de las empresas.

Si queremos que un proyecto de seguridad sea considerado como una inversión y no como un gasto (y facilitar así su aprobación), habrá que presentarlo como cualquier otro proyecto especialmente desde el punto de vista de las finanzas. Acá es donde pueden comenzar algunas complicaciones para especialistas técnicos sin suficientes conocimientos del área de economía y finanzas, y también lamentablemente el porqué surgen algunas observaciones y opiniones poco fundadas que suelen escucharse y leerse.

Los mecanismos más tradicionales en los ambientes de negocios para analizar inversiones son los indicadores financieros tales como el ROI, TIR y VAN, entre otros. El primero, sobre todo, ofrece un enfoque muy adecuado para el análisis de las inversiones en seguridad de la información.

ROI y Seguridad
La forma más conocida para encarar los desafíos correspondientes al análisis de una inversión es determinar el ROI, Retorno Sobre la Inversión.

El ROI se expresa básicamente como el cociente entre el retorno y el costo de una inversión, donde el retorno o beneficio neto está dado por la diferencia entre lo que se obtiene por una inversión y el costo correspondiente a la misma.

En su forma más simple el ROI se ejemplifica con la compra de un bien, por ejemplo una acción bursátil, que al tiempo (quizás a los pocos días) se vende. En este caso, el retorno es simplemente la diferencia entre el precio de venta y el de compra (o sea la inversión). Y el ROI, a su vez, la relación entre dicho retorno y el precio de compra.

Si bien estrictamente ROI se basa en el capital invertido y su recupero, hoy día la mayoría de la gente de negocios lo considera, en forma genérica, como el retorno de una inversión financiera logrado a lo largo del ciclo de vida de un proyecto dividido por el costo total a lo largo de dicho ciclo, incluyendo la inversión inicial.

El concepto de Flujo de Caja se aplica a un proyecto como el resultado combinado de ingresos y egresos debidos al proyecto en cuestión para cada período de su ciclo de vida, generalmente de un año cada uno. Además, en un proyecto que se extienda a un año o más, habrá que considerar la diferencia entre el valor futuro y el valor presente del dinero, y la aplicación de cierto descuento para “traer” los Flujos de Caja de cada año a valores presentes y tratarlos con la inversión inicial para determinar así el resultado final del proyecto.

Pasemos ahora al ROI de Seguridad, mejor conocido como ROSI o Retorno Sobre la Inversión en Seguridad.

Obviamente ROSI tiene su antecedente directo en ROI. En consecuencia, tendremos que considerar los principios de cálculo de ROI y las derivaciones que surgen para su aplicación en ROSI, especialmente en cuanto a las condiciones y características que debe reunir para negociar una prima de seguro.

Debido a cierta complejidad del escenario planteado lo estudiaremos desde una perspectiva reduccionista, que nos permita formar una idea concreta de los diferentes factores básicos que intervienen en la concepción, cálculo y verificación de una solución a esta problemática. Para ello hay que reconocer y encadenar la serie de temas que se enumeran a continuación:
a) Metodología de cálculo: ALE, LDA, Bayes, Efecto de las colas.
b) Los conceptos de un ROSI integral.
c) ROSI y los valores de entrada.
d) Manejo de la Incertidumbre y la Simulación Monte Carlo.
e) Métricas.
f) ROSI y las Primas de Seguro.

ALE
Hace casi 30 años NIST (entonces NBS) fue quien introdujo el concepto de ALE, como Expectativa de Pérdidas Anuales. ALE es la sumatoria del producto de cada uno de los impactos de incidentes por la probabilidad anual de ocurrencia de los mismos (2).

De esta manera, ALE puede verse como un indicador de riesgos y, de hecho, como base fundacional de la valuación de riesgos, de modo tal que su uso se extiende a los diferentes métodos y aproximaciones que analizamos en este trabajo.

Los riesgos pueden ser específicos de los negocios, pero también de todo lo que pueda afectarlos, como precisamente ocurre con los inherentes a la seguridad de la información.

Por todo lo dicho hasta acá podemos considerar que ALE responde a un modelo cuantitativo para el análisis de riesgos, en nuestro caso el cálculo de las pérdidas producidas por incidentes de seguridad. Además, que ALE requiere valores discretos para su cálculo, así como que se presupone que dichos datos están basados en la historia de eventos ya ocurridos.

Si tales valores discretos no son completamente exactos y/o no muy confiables, se puede circundar en parte esta limitación aplicando la expresión semicuantitativa de Courtney. Courtney trabaja tanto para los impactos como para las frecuencias de ocurrencia anual con ocho rangos escalonados en forma decimalizada.

LDA
Es frecuente que los resultados correspondientes al ALE de cada uno de los posibles incidentes se repitan, por tener iguales ambos factores, o bien diferentes pero produciendo igual producto. Cuando los resultados agrupados de esta manera se grafican en función de la cantidad de veces o frecuencia a lo largo de un año de un mismo resultado, se obtienen las pérdidas agregadas o pérdidas acumuladas.

En la práctica los valores así obtenidos se vuelven a agrupar ahora en rangos de menor a mayor, con lo que el resultado es un histograma de barras.

Generalmente un histograma puede aproximarse con una curva continua que señala la forma en que varían los resultados. Se trata de una curva de distribución estadística, denominada específicamente función de densidad de probabilidades. Una distribución de probabilidades muy conocida es la llamada campana de Gauss o curva normal.

En el caso de ALE, tendremos una curva representativa de la distribución de las pérdidas por incidentes. El resultado obtenido se denomina Aproximación de Distribución de Pérdidas, LDA.

La principal característica de LDA, y como vimos antes también del propio ALE, es que enfatiza el uso de datos internos históricos y supuestamente confiables.

Pero además, bajo el esquema LDA se puede obtener el Valor en Riesgo, VaR, un conocido indicador en las áreas financieras así como las de riesgos de crédito y mercado, y también presente en los cálculos de riesgos operacionales conforme Basilea II.

El VaR cuantifica la máxima pérdida potencial para un determinado nivel de confianza, un número que señala el percentil para dicha pérdida y que se expresa en forma porcentual, por ejemplo 98% para el percentil 98. En la práctica el VaR se toma en no menos del 95% y en algunos casos hasta fracciones por arriba del 99%.

Para precisar la importancia del VaR, recordemos que las funciones de distribución generalmente se reconocen por un indicador tradicional como lo es su valor medio. Este valor medio en nuestro caso señala las Pérdidas Esperadas especialmente en el contexto de Basilea II. Ahora bien, el valor medio puede ser mayor que el valor más probable (o sea un pico máximo en la curva de distribución), ya que en los casos que analizamos, las curvas de distribución no son simétricas como la curva normal sino asimétricas sesgadas a la derecha, lo que implica una cola más ancha en el extremo mayor de la distribución.

De cualquier manera, en los ambientes de finanzas e incluso en nuestro caso es mucho más usual trabajar sobre condiciones extremas, con lo que el VaR es más adecuado que los indicadores anteriores.

Finalmente, cuando no se dispongan de suficientes datos históricos, se puede seguir usando LDA con el mejor ajuste posible de los datos existentes a una curva de distribución adecuada.

Bayes
Sin embargo para un escenario como el recién planteado es preferible emplear métodos estocásticos, es decir aleatorios, tales como la Aproximación de Bayes o especialmente la Simulación Monte Carlo. Veamos Bayes en este punto dejando Monte Carlo para más adelante.

Bayes es un método de inferencia que se basa en una aproximación que combina datos cuantitativos y cualitativos. Los datos cuantitativos, como antes, son datos históricos internos o externos a la organización. Los cualitativos se corresponden con información subjetiva surgida de opiniones (generalmente de expertos), conformadas por medio de algún método de investigación prospectiva como Delphi. La incorporación de este tipo de datos cualitativos constituye una significativa ventaja propia de esta aproximación.

La clave de Bayes está en poner a prueba información anterior de datos opinables en función de las probabilidades de datos históricos. La distribución resultante o posterior es función de la distribución de las opiniones de expertos y de las observaciones o muestras de datos a partir de dicho conocimiento anterior.

El uso de esta aproximación es habitual en las áreas de ciencias básicas como la Física y Química, y especializadas como Meteorología y Paleontología, así como también precisamente en Seguros.

Efecto de las colas
Pero hay otra cuestión importante a considerar. ¿Qué pasa con los eventos de seguridad a los que ALE prácticamente no aporta nada más allá del nivel de confianza del VaR?

Tales tipos de eventos se corresponden con incidentes que se dan con una frecuencia anual de ocurrencia cercana a cero (por ejemplo una vez cada 50 años), de modo que aunque puedan ser de alto impacto producen un ALE muy pequeño..

Este tipo de incidentes, entonces, se ponen de manifiesto en la cola superior, incluyendo especialmente la porción de la curva de distribución por arriba del VaR estipulado.

Situaciones como éstas implican una curva de distribución con una cola ancha (fat-tail) en los percentiles más elevados de la distribución, lo que hace a la asimetría y al sesgo a la derecha ya mencionados.

Todo esto nos dice que en lo posible hay que considerar el histograma en su totalidad y no sólo la curva ajustada de distribución que puede representarla bastante bien en su mayor parte, aunque no lo suficiente precisamente en el extremo superior.

Ahora bien, sabemos que VaR mide hasta cierto percentil de una distribución y no tiene en cuenta las pérdidas extremas más allá del nivel de confianza fijado. Sin embargo, las pérdidas en cuestión podrían llegar a ser trascendentes.

Hay dos formas de estudiar dichas pérdidas: o como una extensión o complemento de la curva de distribución general, o bien exclusivamente sobre la propia cola sin considerar la forma de la distribución del cuerpo principal.

La primera considera las pérdidas más allá del VaR por medio del ES (Shortfall o Deficit Esperado), un indicador usado en finanzas para medir riesgos financieros. El Shortfall Esperado es simplemente el promedio de las pérdidas en la porción entre el VaR y el 100% de la cola.

La otra forma de considerar las colas se basa en la Teoría del Valor Extremo o EVT, desde hace cierto tiempo usada en el campo actuarial y últimamente también en el campo financiero, sobre todo en lo relativo a la gestión de riesgos.

El mecanismo más usual para aplicar la EVT es por medio del POT, una técnica que considera los picos en los percentiles más elevados de la curva o histograma de la distribución, a partir de un percentil que podría o no ser el del VaR.

POT también es un promedio, pero en este caso de los picos de pérdidas con probabilidades mayores a cierto umbral que generalmente está dado por el promedio de las probabilidades en los percentiles extremos considerados.

Este método permite la determinación de una adecuada distribución estadística en la cola superior, por ejemplo por medio de una curva de distribución Pareto. Incluso hasta podría establecerse una distribución que se adapte no sólo a los valores del cuerpo principal sino también a los de la cola. Para esto se puede recurrir a una combinación adecuada en base a Pareto o Weibull. De esta manera también se podría establecer una aproximación más realística del VaR.

Los conceptos de un ROSI integral
Si bien ROSI deriva del ROI, nos encontramos con algunas diferencias que es necesario aclarar y tener en cuenta.

En primer lugar, por lo general ROSI no produce ingresos contables directos. Sin embarrgo, lo que en realidad ocurre es que gracias a un proyecto de seguridad y las medidas correspondientes se reducirán las pérdidas que por incidentes de seguridad podrían existir con anterioridad.

Para ello en primer término se establecerán las pérdidas debidas a cada uno de los incidentes de seguridad antes y después de aplicar dichas medidas de seguridad, para luego totalizar cada circunstancia por separado y determinar el ahorro total correspondiente.

Dichas medidas de seguridad o salvaguardas pueden ser de diferentes tipos. Algunas son para prevenir incidentes, produciendo una reducción en las probabilidades de ocurrencia de los mismos. Otras son para remediar los efectos de tales incidentes, reduciendo la magnitud o monto de los impactos correspondientes. Finalmente hay salvaguardas que producen ambos efectos. De una u otra forma el objetivo es siempre el mismo: reducir o mitigar las pérdidas, lo que equivale a un ahorro o ganancia indirecta.

Tal reducción de pérdidas es un beneficio perfectamente aceptable, de manera similar a lo que ocurre en la práctica con ROI al considerar por ejemplo las ganancias por aumento de la productividad y de la calidad, la disminución del esfuerzo, así como los beneficios derivados de la concientización y capacitación del personal.

Adicionalmente se puede considerar la reducción de ciertos costos indirectos, como los resultantes de procesos ineficientes, las pérdidas de oportunidad, e incluso en circunstancias especiales los costos intangibles como la pérdida de imagen pública. O sea que en definitiva, no todo es un ingreso monetario efectivo en un libro contable.

Ahora definimos el valor de las salvaguardas como igual a las pérdidas totales por incidentes sin tratar menos las pérdidas totales con los incidentes mitigados por las salvaguardas. Por lo dicho antes, el concepto ampliado de pérdidas incluye también los costos indirectos comentados.

A su vez consideramos al costo de las salvaguardas como los costos totales de las mismas, que incluyen no sólo la inversión inicial sino cualquier otro costo variable o recurrente (como la renovación anual de licencias).

De esta manera, la diferencia entre el valor y el costo de las salvaguardas resulta ser el retorno propio del proyecto.

En definitiva, a semejanza de ROI, ahora tendremos:
ROSI = Retorno/Costo = (Valor – Costo)/Costo

Para los cálculos correspondientes nos basaremos en ALE, ya que es el método usado históricamente para calcular las pérdidas en forma cuantitativa por lo que su uso es directamente aplicable a ROSI (3).

Además, ROSI no debe considerarse como una estrategia para períodos cortos de tiempo. Entonces, puesto que un proyecto de seguridad puede extenderse a 2 o 3 años, un cálculo adecuado debe seguir también los lineamientos del flujo de caja descontado, tal como se comentara antes, por lo que habrá que manejar valores futuros y traerlos a valores presentes con el correspondiente descuento aplicado a los flujos de caja de cada año.

Por otra parte, para dar más fuerza en la práctica a un proyecto de seguridad, es conveniente que ROSI se complemente con otros indicadores financieros, que se calculan directamente a partir del mismo análisis de flujo de caja. Tales indicadores pueden ser:
a) El IIR o TIR (Tasa Interna de Retorno) que establece el máximo interés de descuento de los valores futuros para un proyecto en equilibrio (o sea sin pérdidas ni ganancias) permitiendo su comparación con otros proyectos.
b) El Payback o PRI (Período de Recuperación de la Inversión), generalmente también descontado, que determina el momento del ciclo de vida del proyecto en que los flujos de caja traídos al presente igualan a la inversión inicial.
c) El NPV o VAN (Valor Actual Neto) que proporciona el valor monetario del beneficio neto de todo el proyecto y es, por lo tanto, un complemento muy importante a la relación porcentual que expresa ROSI (4).

ROSI y los valores de entrada
Analizada la metodología así como la concepción integral de ROSI conforme todo lo visto hasta ahora, hay que considerar, yendo un poco hacia atrás, la verosimilitud de los datos de entrada con que se realicen tales cálculos.

Porque después de todo, y de hecho un argumento de la compañía de seguros, ¿cómo se demuestra la validez de los valores de entrada para el cálculo de ROSI especialmente cuando hay escasos datos históricos? Y, por lo tanto, si efectivamente las medidas de seguridad harán que se reduzcan las pérdidas en los valores que se consignan.

Conseguir un ROSI plenamente tangible no es fácil, y no precisamente porque generalmente no haya un ingreso contable en la organización.

Se ha escrito bastante sobre algunos aspectos opinables de ROSI. Algunos lo hacen desde puntos de vista exclusivamente técnicos, con lo cual obviamente el enfoque no es total sino parcial. En este punto aparecen influencias más bien negativas como el ROSI preparado por algunos proveedores de productos de seguridad, que suele adolecer de fallas u omisiones en pos de presentar dichos productos en mejores condiciones competitivas.

Lamentablemente muchos especialistas técnicos (y no sólo los propios de una empresa sino externos que con notas periodísticas pueden confundir más aún) no poseen conocimientos adecuados de finanzas, estadísticas y a veces hasta de riesgos a nivel corporativo, es decir más allá de los específicamente técnicos. Entonces, por ejemplo, mal se puede explicar así al personal decisor de administración/finanzas de la propia empresa la problemática integral de las cuestiones que estamos analizando. A su vez, dicho personal lo que menos quiere escuchar es sobre cuestiones técnicas como virus, hackers y esas cosas, perdiéndose la posibilidad de su propio aporte a todo este análisis.

Estos enfoques limitados hacen que quienes no estén bien informados, puedan adquirir y/o mantener una actitud crítica respecto a ROSI, sobre todo si se hace un enfoque parcial de los riesgos, es decir, sin considerar la totalidad de la gama de riesgos del ambiente integral de la seguridad corporativa.

Efectivamente, cuando se analizan los riesgos no hay que olvidar que no son sólo los riesgos de carácter técnico, con vulnerabilidades de a lo sumo 2 o 3 niveles. En la actualidad, como se comentara al principio, los riesgos operacionales son cada vez más cruciales en los escenarios de seguridad de la información. Y las vulnerabilidades correspondientes a este tipo de riesgos se extienden a lo largo de una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivas de las personas.

En consecuencia, el análisis y cálculo puede y debe incluir todo tipo de riesgos, no sólo los del área tecnológica sino también los riesgos físicos, organizacionales y sobre todo operacionales. Un ROSI que no lo haga seguramente será cuestionable.

Manejo de la Incertidumbre y Simulación Monte Carlo
En base a todo lo revisado hasta aquí, puede considerarse que el cálculo de ROSI tiene suficientes fundamentos para su aceptación. Sin embargo, especialmente tanto si sólo hay escasos datos históricos, así como si no se trabaja con valores y probabilidades discretas y puntuales sino en forma de rangos, los resultados mantienen una condición de incertidumbre de cierta consideración. Este panorama seguramente entorpece y complica la evaluación y aprobación de un proyecto cualquiera, en nuestro caso de seguridad de la información, así como su consideración frente a una posible reducción de las primas de seguro.

El problema que así se presenta se puede tratar apelando a la teoría de las decisiones en condiciones de riesgo e incertidumbre.

Como en nuestro caso el grado de incertidumbre no es absoluto, las condiciones de riesgo pueden considerarse estadísticamente. Esto es similar a los seguros, aunque en este caso las presunciones se basan en probabilidades bastante definidas gracias a la experiencia acumulada con el tiempo. La mejor solución para enfrentar dichas condiciones es complementar las metodologías comentadas antes con la simulación Monte Carlo.

La simulación Monte Carlo es un método estocástico para simulación por computadora que permite estudiar el rol de la incertidumbre sobre las variables bajo condiciones de riesgo. Con este mecanismo se pueden generar una y otra vez muestras aleatorias en base a distribuciones estadísticas conocidas.

De esta manera con la simulación Monte Carlo se pueden obtener estimaciones cuantitativas razonables y consistentes aplicando probabilidades y estadísticas adecuadas para una mejor entropia.

Concretamente, por diferencia entre las pérdidas anteriores y posteriores luego de la aplicación de las salvaguardas correspondientes se pueden establecer:
a) El valor medio resultante de la aplicación de la Ley de los Grandes Números, gracias a que este mecanismo de simulación justamente posibilita que trabajen las leyes de las probabilidades.
b) El valor más probable del ahorro o beneficio de un plan de seguridad.
c) Un nivel aceptable de certidumbre para el monto del ahorro a obtener acotado por un margen de confianza dado por ejemplo por un 10% de probabilidades para un valor mínimo y un 90% para un máximo.
d) El VaR para un 95% o más de nivel de confianza y casi siempre mejor determinado que con el LDA solamente.
e) Los efectos de la cola superior debido a los incidentes de bajas probabilidades de ocurrencia anual pero alto impacto, por medio del Expected Shortfall o del POT.

La experiencia indica que cuando se ponen en práctica las consideraciones comentadas hasta aquí, el ROSI obtenido puede ser suficiente para un análisis fundado con el área administrativa/financiera de la organización, o de la compañía de seguros (5).

Incluso internamente aún mejores resultados pueden lograrse haciendo que tal análisis de ROSI constituya el componente financiero de un Business Case o Caso de Negocios de Seguridad de la Información. Por cierto, nada mejor para un CISO o Leader de Seguridad que hablar al personal de finanzas en su idioma: cómo aumentar la eficiencia, reducir las pérdidas, etc. manejando y usando conceptos como cash flow, valor presente, valor futuro, valor actual neto, etc. Y mejor aún, hablarles lo menos posible de virus, malware, etc.

Métricas
Además de todo lo visto, con el proyecto ya en marcha hay una cuestión más a considerar y que se refiere a los resultados obtenidos, cuyas verificaciones se realizan por medio de mediciones, también denominadas métricas.

Las métricas sirven principalmente para establecer, entre otros detalles, qué controles realmente se han implementado, así como el porcentaje de eficiencia y eficacia de los mismos en la reducción de las pérdidas de seguridad.

Ya el draft de la norma ISO 27004, próxima a ser finalizada, aporta sin duda la estructura adecuada para estas tareas. Mientras tanto hay buenos trabajos relacionados especialmente con las métricas a nivel de los 39 objetivos de control de la ISO 27002.

Además, la publicación 800-55v1 del NIST puede proporcionar una ayuda aún más granular en algunos casos. Si bien las medidas de seguridad del NIST no son las mismas de la ISO 27002, el NIST 800-53 ofrece un mapeado entre unas y otras.

Finalmente, en los últimos tiempos se han venido desarrollando interesantes modelos de Balanced-Scorecard, BSC (también conocido como Tablero de Comando o bien Mando Integral Balcanceado), aplicados al desempeño de la seguridad de la información. Con BSC se pueden identificar indicadores de riesgos que incluso pueden facilitar su gestión al indicar la causa de dichos riesgos, especialmente los de carácter operacional. Por otra parte, la importancia de estos desarrollos radica en la mayor trascendencia dada últimamente al BSC en los ambientes de negocios. Y sin duda es una forma de llevar la seguridad de la información a los niveles más altos de una organización no sólo a modo de concientización sino a su reconocimiento efectivo en el área de negocios.

ROSI y las Primas de seguros
¿Es todo lo anterior suficiente para renegociar una prima de seguros? En primer lugar y aunque parezca elemental, un análisis completo de ROSI es mejor que nada, con seguridad. En segundo término, no hay que olvidarse que las compañías de seguro también trabajan con estadísticas, no tan estáticas como se podría imaginar. Por ejemplo, ¿qué tal con los eventos de seguridad que seguramente surgen en organizaciones afectadas directa o indirectamente por los cracks financieros actuales?

Una cuestión inicial a considerar es qué se contrata específicamente que pueda ser afectado por la seguridad de la información. Para el caso habrá que ver la forma en que la compañía de seguros calcula este tipo de primas, algo que podría basarse en cuestionarios o investigaciones que quizás contengan cuestiones que justamente se tratan en una implementación ISO 27001, con lo cual ya habría una base común para negociar.

En cuanto a la renegociación misma, habrá que tener en cuenta que una prima menor implica una menor comisión para el vendedor, por lo que puede retacear su apoyo. Pero también por el otro lado, siempre la empresa contratante podrá considerar la aplicación de acciones estratégicas como el posible cambio de compañías.

Y para terminar, además de todos los aspectos propios de la seguridad de la información: ¿no sería más amplio un análisis que incluya la continuidad de negocios basado principalmente en la disponibilidad operacional de una empresa? Es muy probable, pero esto ya es otra historia.

Notas
(1) Este trabajo fue preparado para especialistas tanto de Tecnología como de Economía y Finanzas. Algunos conceptos serán conocidos por unos pero no por otros, y viceversa.

(2) ALE no se debe confundir con ROI. ALE es un valor monetario de pérdidas anuales. ROI es la relación (cociente) entre el beneficio neto de una inversión y el costo de la misma.

(3) ALE es un indicador conocido y de utilidad comprobada durante muchos años. Cuando se introdujo su uso en el tema de seguridad hubo lamentablemente quienes procuraron modificar su sentido demostrando quizás poco conocimiento de sus verdaderas implicancias.
Por ejemplo, una redefinición hablando de un nuevo ALE al que al original se agrega el costo de las salvaguardas. Esta acción obviamente colisiona con la propia definición de ALE que habla de “pérdidas” con lo cual el parámetro de costos no es precisamente un ítem coherente.
También se quiso modificar el ALE incorporando un supuesto porcentaje de reducción en base a la aplicación de las medidas de seguridad. Este mecanismo viene siendo usado por algunos proveedores para concluir que su producto podría reducir en un determinado porcentaje el ALE producido por ciertos incidentes. En realidad, tal criterio tampoco es aceptable puesto que aunque se acepte un porcentaje en la reducción de las pérdidas, esto no puede aplicarse directamente al producto ALE, sino individual e independientemente a sus factores, la frecuencia anual de ocurrencia o el impacto. Esto se debe a que generalmente los efectos específicos de las salvaguardas son para prevenir o para remediar respectivamente dichos factores.

(4) Justamente, a veces ROSI se encuentra expresado simplemente sólo por el numerador de su expresión original. Sin embargo, un simple análisis indica que tal numerador no es ni más ni menos que el NPV o VAN (Valor Actual Neto) correspondiente a todos los ingresos y egresos producidos en el período considerado de validez de la inversión con los valores futuros traídos a valores presentes.

(5) Se ha dicho que ROI en el contexto de seguridad no es exacto. En realidad tampoco un ROI es exacto cuando se lo estima a priori, salvo luego de hecha la inversión y medidos sus verdaderos resultados. Esto no impide su utilidad. No debemos olvidar que la certeza y precisión absolutas, felizmente, no son necesarias para tomar decisiones.

Copyright ©2011. Carlos Ormella Meyer.

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

Continuidad de Negocios

Abstract

La Continuidad de Negocios, BC, se refiere a las actividades necesarias que aseguren la supervivencia de una empresa frente a un incidente que provoque una interrupción en la operatoria normal de negocios. El objetivo para ello entonces es asegurar que los procesos primordiales sean o bien no interrumpidos, o bien efectiva y eficientemente restaurados de acuerdo con la misión de negocios de una empresa, asegurando directamente el éxito total de la misma.

Para ello la Continuidad de Negocios se enfoca en todos los recursos materiales o personales relacionados con tal objetivo. La determinación de las actividades en cuestión constituye el llamado BCP o Plan de Continuidad de Negocios.

En la preparación de un BCP es importante tener en cuenta que el desafío número 1 no es la tecnología que sustenta las operaciones de la empresa, sino la visión de los negocios y las estrategias a establecer para mantener las operaciones comerciales y en definitiva los objetivos/misión de la misma. Como consecuencia, los sistemas de información se consideran en el BCP sólo en términos de su soporte para los procesos de negocios.

Bases para la Preparación de un BCP
Una forma simplificada de considerar la preparación de un BCP pasa por fases como las que siguen:
1) Análisis de Impacto en los Negocios
2) Valuación de Riesgos
3) Estrategias de gestión
4) Pruebas
5) Mantenimiento

1) Análisis de Impacto en los Negocio
El análisis de impacto en los negocios o BIA es un paso clave en el proceso de un BCP. Esto se debe a que BIA está básicamente relacionado con eventos indeseados que provoquen una interrupción o degradación de las operaciones de una empresa, es decir, afectando la disponibilidadde los recursos críticos para mantener operando adecuadamente los procesos de negocios correspondientes.

Incluso en este contexto no se necesita conocer la razón y/o la probabilidad de tales eventos para poder determinar el impacto de una falla en dichos procesos.

Estrictamente, el BIA sirve para valuar el impacto a lo largo del tiempo en un proceso de negocios no disponible o con un desempeño diferente al previsto, así como para priorizar las funciones que lo relaciona con otros procesos.

La función de tiempo se identifica con el RTO (Objetivo del Tiempo de Recuperación) de los procesos de negocios lo que conlleva el RTO de los componentes correspondientes, es decir las funciones de negocios y los recursos/activos que las sustentan. A su vez, las necesidades de disponibilidad de los procesos en cuestión implican el establecimiento de una frontera temporal crítica dada por el RPO (Objetivo del Punto de Recuperación).

Adicionalmente el BIA implica asignar las prioridades de recuperación correspondientes a funciones y recursos categorizándolas, por ejemplo, como críticas, esenciales y de soporte. Esta clasificación generalmente se basa en el lapso máximo de interrupción antes de poner seriamente en peligro las operaciones de una empresa, y todo lo que se deriva de tal situación.

2) Valuación de Riesgos
El RA (risk assessment) o valuación de riesgos se refiere a los riesgos como entidad, es decir los resultantes de los diversos componentes que se usen: el factor impactos considerado antes y la probabilidad anual de ocurrencia en el caso de trabajar con ALE (Expectativa de Pérdidas Anualizadas) o bien en el caso más usual de los proyectos de seguridad de la información.

Es importante tener en cuenta que el RA no se refiere sólo a los aspectos de continuidad/disponibilidad propios del BIA sino también al resto de los factores que afectan la seguridad de la información, tales como la confidencialidad, integridad, responsabilidades, autenticidad y confiabilidad.

Por otra parte, el RA es el mecanismo idóneo para determinar cómo mitigar el efecto de esos eventos o incluso previendo que ocurran, trabajando sobre los componentes del riesgo por medio de salvaguardas o contramedidas de seguridad.

Debe destacarse que el RA se enfoca exclusivamente en los procesos que el BIA determinó como críticos para la continuidad de los negocios.

3) Estrategias de Gestión
Con los resultados de las dos fases anteriores, se trata de decidir qué medidas adoptar respecto a diferentes momentos de todo el proceso de continuidad de negocios en función de un análisis de costo-beneficio para las diferentes estrategias analizadas. Tales medidas pueden ser:
o Prevención
o Respuesta o reacción a incidentes
o Reanudación o recuperación
o Restauración/Reconstitución

Prevención. Las decisiones a tomar pasan por considerar que un posible paso de recuperación posterior sólo ocurra frente a riesgos residuales, habida cuenta de las medidas de prevención que mitiguen los riesgos originales en cada caso. Para el caso se usan contramedidas disuasivas y preventivas.

Respuesta. Implica una cadena de información, contactos y toma de decisiones frente a las diferentes eventualidades que se pudieren presentar según el tipo y nivel de incidentes.

Recuperación. Comienza siempre primero por los procesos críticos de negocios incluso en un sitio alternativo. Esta eventualidad se analiza teniendo presente que en general tienen mayor costo para menor tiempo de recuperación. Algunas de dichas opciones son las que siguen:
1) Sitio espejado: un sistema idéntico al de producción.
2) Remote journaling: transmisión en línea de cambios y actualizaciones de bases de datos.
3) Hot site: sitio compatible con el de producción.
4) Cold site: sitio vacío con la infraestructura como para la instalación.

Restauración. Se refiere a las tareas necesarias para la reanudación de actividades normales en el sitio original mientras sigue funcionando el sitio alternativo. A veces se hace la distinción entre reanudación (resumption) y recuperación (recovery). En tal caso se dice que la reanudación es la recuperación de operaciones críticas de negocios, mientras que la recuperación se refiere a las operaciones de negocios menos sensibles al tiempo.

4) Pruebas
Las pruebas también constituyen una etapa importante en el proceso de un BCP, puesto que por un lado se trata de ver si el mismo funcionará cuando realmente haga falta, y por el otro que las pruebas sirvan también como entrenamiento para el equipo encargado de las mismas permitiéndoles familiarizarse con los procedimientos correspondientes.

En muchos casos resulta conveniente realizar primero pruebas de escritorio (o de clase como también se le llaman), donde un buen análisis puede poner de manifiesto la necesidad de correcciones. A partir de estos resultados se pueden programar pruebas funcionales en un escenario de simulación de interrupción de negocios.

5) Mantenimiento
La revisión del plan debe ser periódica y programada adecuadamente conforme procedimientos especialmente preparados al efecto. Un punto importante en este paso es la determinación de cuáles son los factores de posibles cambios y los procedimientos correspondientes. En estos escenarios la gestión de cambios a nivel organizacional y personal constituye un punto de gran importancia.

Documentación
El BCP incluye generalmente otros documentos, tales como:
o Plan de Recuperación de Desastres (DRP).
o Planes de Contingencia, aplicables generalmente a los sistemas IT involucrados.

Por otra parte, también es usual agregar a la documentación del BCP, los resultados del BIA y de la Valuación de Riesgos.

Normas y herramientas
Para el análisis de riesgos pueden seguirse las directivas de la nueva ISO 27005 o mejor aún las de la BS 7799-3.

Para un proyecto BCP específico se puede trabajar con la BS 25999, una muy buena norma británica sobre BCM (Gestión de Continuidad de Negocios).

Por su parte la norma ISO 27002 (que se implementa bajo los requisitos de la ISO 27001) tiene un área específica para la Gestión de Continuidad de Negocios, desarrollada en cinco controles específicos.

La ISO 27002 tiene también otras secciones también a considerar, tales como la organización, seguridad en los recursos humanos, seguridad física y ambiental, y control de acceso.

Una ventaja de complementar el trabajo dentro del marco establecido por las normas ISO 27002 y 27001, es que puesto que el BCP es una de las áreas que cubren estas normas, cuando en algún momento ulterior la empresa proyecte un plan de seguridad conforme las mismas, e incluso su certificación, ya el área del BCP estará conforme dichas normas.

Una herramienta adicional que puede resultar muy útil es el conocido Scorecard, en este caso bajo la forma de un mando integral balanceado o tablero de control simplificado de alcance gerencial especialmente a cuanto al área IT. Preparado como un checklist, puede usarse como base de un análisis preliminar al desarrollo de un BCP, para establecer en qué medida está preparada una organización a situaciones que afecten la continuidad de las operaciones de negocios.

© 2011 - Carlos Ormella Meyer

Para mayor información de todos estos temas, así como de cursos, asesoramiento y consultoría por favor dirija su consulta a Nancy Clark Cedeño.

Home

Cursos

Artículos

Documentación

Artículos L&W

Resúmenes