UN CONCEPTO EXTENDIDO DE LA MENTE SEGURA: PENSAMIENTO SISTMICO EN SEGURIDAD INFORMTICA

Jeimy J. CANO __________________________________________________________________

Descriptores: Pensamiento sistmico, polticas de seguridad informtica, mente segura, estrategias de seguridad informtica, administracin de seguridad informtica.

Resumen
El concepto y la prctica de la seguridad informtica a lo largo del tiempo ha sido una disciplina dominada por la lite de los profesionales especializados en el tema, dejando generalmente por fuera del escenario corporativo al individuo e incluso a la organizacin. En este sentido y conociendo la dinmica actual de los negocios, la necesidad de una visin integradora, de lenguajes comunes que inspiren y orienten las acciones de los participantes del mercado, se plantea una revisin conceptual y prctica de la seguridad informtica tomando como insumo bsico la propuesta de Day [2003] denominada: la mente segura. Esta revisin confronta la tradicin histrica de la seguridad informtica para darle paso a una reflexin que involucra la dinmica de los negocios y el valor agregado de la misma. Finalmente este documento, establece un contexto para las prcticas actuales de la seguridad informtica y la aplicacin misma de la mente segura, con el fin de proponer una visin sistmica de la mente segura, que vincula de manera formal elementos como la tecnologa, el individuo y la organizacin, enfatizando en el estudio de stos y sus relaciones, para repensar la seguridad informtica ms all de la experiencia tecnolgica tradicional.

INTRODUCCIN La seguridad informtica como concepto ha venido evolucionando a lo largo del tiempo. La necesidad de proteccin, de control de acceso, de confidencialidad y disponibilidad de la informacin han marcado una manera de comprender las posibilidades de la seguridad informtica en las empresas [HANCOCK, W. y RITTINGHOUSE, J. 2003, PARKER, D. 1998, KRAUSE, M., y TIPTON, H. 1999]. En este sentido, las organizaciones desde sus inicios han buscado la manera de

Ingeniero de Sistemas y Computacin, Universidad de los Andes, Colombia. Magister en Ingeniera de Sistemas y Computacin, Universidad de los Andes, Colombia. Doctor of Philosophy (Ph.D) in Business Administration, Newport University, USA. Certified Fraud Examiner CFE. Profesor de la Facultad de Derecho, Universidad de los Andes, Colombia. Profesor Engineering School. Newport University. IEEE Senior Member. Contacto: jjcano@yahoo.com

aumentar la certeza y el adecuado seguimiento de las actividades de los usuarios y procesos en los diferentes sistemas informticos o electrnicos, con el fin de mantener un adecuado control (comprendido como capacidad de regulacin) de la evolucin del sistema y un registro ptimo de los empleados en el uso de los sistemas de informacin disponibles para soportar la operacin de las organizaciones [SCHETINA, E., GREEN, K., y CARLSON, J. 2002, PROCTOR, P. y BYRNES, F. C. 2002]. Esta evolucin ha estado confinada entre una rpida transformacin tecnolgica y una mediana apropiacin de la tecnologa en las organizaciones. Si bien las motivaciones organizacionales, fundadas en mayor capacidad de interaccin y eficiencia de las unidades de negocio, son un factor decisivo para promover desarrollos de sistemas de informacin de amplia cobertura y orientado a los clientes; la capacidad de absorcin (capacidad de comprender y usar la TI) de esta nueva tecnologa y sus posibilidades, por parte de los individuos de la organizacin, podra no ser tan rpida como la que espera la alta gerencia de la organizacin, generando posibles diferencias en los proceso de negocio que puedan comprometer la informacin que en ellos se maneja. En este sentido, la seguridad informtica, por una tradicin acadmica y cientfica, fundada en un contexto histrico donde la inversin en proteccin y control de informacin son los factores comunes, se ha confinado al contexto de dispositivos, iniciativas y estrategias tcnicas y experimentales para elevar cada vez ms los niveles de control sobre los datos disponibles, sabiendo que ellos, son parte esencial de la razn de ser de los proceso de negocio. Esta realidad, se ha afirmado a lo largo del tiempo en las organizaciones, generando un paradigma eminentemente tcnico alrededor del tema de seguridad informtica, generalmente de dominio de los profesionales de la ingeniera, donde el espacio para individuos de otras disciplinas generalmente no es muy amplio. En razn a lo anterior y explorando en profundidad el espritu del concepto de seguridad informtica, este documento busca repensar dicho concepto integrando la realidad organizacional y sus procesos, la tecnologa informtica que lo soporta y el contexto individual que hace realidad la dinmica de la seguridad informtica en cada uno de los escenarios del mundo corporativo, como una iniciativa para establecer una integracin sistmica del concepto para hacer de la seguridad informtica un tema multidisciplinario inmerso en la evolucin misma de los procesos de negocio de las organizaciones. A continuacin se revisa una breve evolucin histrica de la seguridad que nos permita luego contextualizar las prcticas organizacionales actuales en el tema, como fundamento base para desarrollar el concepto de la mente segura y su revisin extendida en la revisin sistmica. Finalmente se establecen algunas ideas sobre la prctica de la mente segura extendida, las limitaciones de la misma y reflexiones finales sobre el concepto presentado.

EVOLUCIN DEL CONCEPTO DE SEGURIDAD INFORMTICA Revisando algunos momentos histricos de las iniciativas en seguridad informtica en el mundo, nos encontramos con los primeros elementos de esta temtica hacia los aos 60s, donde el surgimiento de internet, las motivaciones de la guerra con la crisis de los misiles y el alto potencial de investigacin que generan las universidades en ese momento, establecen el sustrato necesario para que se desarrollen las necesidades de proteccin y control, registro y seguimiento, aniquilacin y supervivencia que orientan en ese momento la poltica internacional, donde aquel que muestre mayor capacidad de resistencia y ataque se erige como virtual beneficiado de la tensa situacin mundial. Basado en lo anterior, las fuerzas militares reciben importantes recursos econmicos para fortalecer su posicin de defensa y ataque, donde las operaciones en los medios tecnolgicos se muestran como una ventaja y estrategia para ganar posiciones en el escenario de la tensin internacional. Es as como se inician las primeras discusiones sobre el contexto de la seguridad nacional, donde la formulacin de estrategias de seguridad y dispositivos tecnolgicos son elementos que fundamentarn la manera como una nacin impondr su posicin frente a la crisis de una posible guerra. Esta situacin, desarrolla la industria de los sistemas operacionales, de la criptografa, de las aplicaciones automatizadas y del hardware, con lo cual se propone un nuevo desafo para la distincin de seguridad nacional. Ahora la seguridad de las naciones se basa en la informacin automatizada en los diferentes sistemas desarrollados e instalados, los cuales mantienen los datos y los listados impresos fundamentales para la toma de decisiones en el contexto de la situacin internacional. De ahora en adelante el concepto de seguridad informtica tendr una figuracin interesante, pues se hace necesario proteger la informacin que se tiene, mantener un control en el acceso a la misma, por lo que se tendr una clasificacin de la informacin, as como establecer estrategias para darle continuidad a la disponibilidad en caso de situaciones de falla. Con esto en mente, durante los aos 70s y 80s se promueven mltiples iniciativas para fortalecer el tema de seguridad informtica particularmente orientado por el rea tcnica. Asociaciones como ACM Association Computery Machine y IEEE Institute of Electric and Electronic Engineers establecen lneas de accin sobre el tema, fundando grupos de investigacin, conferencias internacionales y publicaciones que poco a poco formaron los primeros profesionales en seguridad informtica. As mismo, de manera paralela los interesados en la auditora y control de los sistemas iniciaron sus foros y discusiones alrededor de una asociacin que inicialmente se llam EDPAC Electronic Data Processing Association y que hoy se denomina ISACA Information System Audit and Control Association. Los nuevos profesionales, denominados Auditores de Sistemas o de procesamiento de datos, se convirtieron en los aliados de los profesionales de las ciencias de la computacin para comprender los pormenores de un adecuado seguimiento y registro para mantener los ya conocidos y aceptados

principios de la seguridad de la informacin: Confidencialidad, Integridad y Disponibilidad. El tema de seguridad informtica durante los aos 70s continuaba en manos del rea tcnica. Los usuarios de las organizaciones slo eran sujetos de uso de la tecnologa los cuales generalmente transgredan las estrategias de control implantadas bien sea por inadecuado uso de las funcionalidades, generalmente por fallas en las aplicaciones, o por acciones malintencionadas de los mismos. La cultura del usuario, su visin de la seguridad y su contexto en la organizacin en este momento no se contemplaba en el diseo de las soluciones de control planteadas para el acceso a la informacin, mientras que el detalle y prueba de las implementaciones tcnicas eran la motivacin ms fuerte. Las investigaciones documentadas durante esta poca muestran una concentracin en el diseo e implementacin de soluciones tcnicas para productos. Por tanto, se hace necesario establecer modelos verificables y altamente confiables por lo cual las especificaciones matemticas formales se hacen presentes. Dentro de las propuestas ms notables tenemos: Modelo Bell-Lapadula [D. E. BELL y L.J. PADULA 1976], Clark-Wilson [CLARK, D. y WILSON, D. 1987], Ullman-Ruzzo [HARRISON, M., RUZZO, W., y ULLMAN, J., 1976], Biba Model [BIBA, K. J. 1977], Sea View Model [DENNING, D. E., LUNT, T. F., SCHELL, R. R., SHOCKLEY, W.R. y HECKMAN, M. 1988], Chinese Model [D. BREWER, y M. NASH 1989]. Con los aos 80s las seguridad informtica se ha consolidado como una disciplina formal y cientfica [BARBARINO, P. 1980, KREISSIG, G. 1980, CLARK, D. y WILSON, D. 1987, KARGER, P. 1988, DOBSON, J. E. y McDERMID, J. A 1989, TERRY, P. y WISEMAN, S. 1989], principalmente asociada con el desarrollo de productos y modelos de seguridad que permitan un acceso controlado a la informacin. Basados en los desarrollos formales de los 70s, el tema de polticas de seguridad se torna ms formal, no slo para los productos y las evaluaciones de los mismos, sino para las condiciones organizacionales y sus procesos. Esta nueva perspectiva sugiere que las organizaciones deben considerar la existencia de sujetos, objetos y relaciones entre stos ltimos. Si se quera avanzar en uso adecuado de los conceptos de seguridad y control, los procesos de la organizacin deberan contemplar lineamientos en esta direccin para que las aplicaciones entraran a fortalecer estas prcticas, coherentes con los diseos e implementaciones efectuadas. Con la popularizacin de Internet, el fuerte desarrollo de la computacin y la mayor interconexin de las organizaciones, la seguridad informtica enfrenta durante la dcada de los 90s un nuevo desafo: seguridad distribuida. Mientras en las dcadas anteriores el detalle de la seguridad giraba entorno al aseguramiento de caractersticas de software generalmente para uso local o personal, los profesionales de la seguridad informtica deban ahora pensar tanto en la seguridad local como en la seguridad en la interaccin con un tercero. En este sentido las primeras iniciativas se fundaron alrededor de los estndares del DoD en el ao 1985, denominados Rainbow Series: libro naranja, libro rojo, libro prpura, entre otros.

Si bien estos primeros estndares permitieron allanar el camino para las investigaciones posteriores, seguan concentrados en aspectos tcnicos de los productos o implementaciones computacionales. Particularmente durante los 90s la tecnologa relacionada con la seguridad informtica tuvo un amplio y sostenido desarrollo. Tcnicas como las de control de paquetes de comunicaciones, cortafuegos, deteccin de intrusos, redes virtuales privadas, criptografa asimtrica, biomtricos, filtros de correo electrnico, entre otras, recibieron gran acogida por la industria, generando variedad de productos y conceptos que son utilizados por las diferentes organizaciones tanto privadas, pblicas y militares. Esta evolucin intuitiva de la seguridad informtica, no sera posible sin la equivalente evolucin de la calidad y sofisticacin de los ataques desarrollados por los intrusos. No se puede negar la importancia de las creativas maneras de confrontar y vulnerar las soluciones de seguridad planteadas durante estos aos, pues sin ellas las mejoras planteadas a la fecha no tendran la formalidad y dimensin que se plantea en los productos actuales de seguridad. En este punto de la revisin de la historia de la seguridad informtica pareciera que la cultura y visin de los usuarios con relacin a la seguridad han pasado desapercibidos, sin un papel protagnico en el concepto de seguridad. Despus de los 80s y entrados los 90s las organizaciones estn basadas en redes de comunicaciones que requieren una especial coordinacin por parte de los individuos en las organizaciones[BARNETT, S. 1996]. Esta dinmica de negocios multilateral, interconectada y basada en relaciones dinmicas e internacionales, inicia el camino de la reconciliacin del tema de seguridad con el tema de negocios. Se habla de reconciliacin y no de incorporacin del concepto de seguridad informtica, pues el concepto siempre ha estado en las organizaciones desde ha mucho tiempo, slo que disociado y especializado en los profesionales de tecnologa, y en algunas comunidades de negocio o militares en el tema de procesos organizacionales. Esta reconciliacin se promueve de manera natural dado que, al igual que los negocios, la seguridad informtica es un conjunto de relaciones que cubren la tecnologa, la organizacin y los individuos. Luego, mientras no se comprendan estas relaciones en el contexto de las relaciones de negocio, la seguridad informtica no ser parte del valor agregado de las relaciones con los clientes y tendr limitaciones para lograr una cultura de seguridad y control inherente a los procesos corporativos basados en las acciones individuales. Cada vez que miramos a la seguridad informtica en el nuevo milenio, se confunden los lmites de la tecnologa, la organizacin y los individuos, lo cual sugiere que la reconciliacin avanza en medio de un camino incierto para las organizaciones que buscan responder algunos interrogantes: Cmo desarrollamos una cultura de seguridad informtica? Cmo hacer para que las personas sean concientes de su responsabilidad con la seguridad? Cmo hacemos para que los empleados nos

ayuden a detectar situaciones de posibles fallas de seguridad? Cmo hacer para que los de IT sean concientes de las caractersticas de seguridad y nos ayuden en su implementacin? Cmo hacer para que la seguridad informtica sea un tema importante de la alta gerencia? En este contexto, las prcticas organizacionales relacionadas con la seguridad informtica muestran las diferentes corrientes que llevan a las empresas de modelos formales de seguridad y control, con sanciones y estrictas directrices, a disposiciones medianamente formales y con controles mnimos para mantener el adecuado acceso y control de la informacin. Esta realidad, generalmente responde a una perspectiva reactiva de situaciones que previamente se han presentado, que hace que una nueva forma de operar se plantee por la organizacin y que generalmente no responde a un modelo o reflexin concreta que oriente las directrices de seguridad informtica y su relacin con el proceso de negocio donde se encuentra el empleado. En el siguiente apartado, se detallaran algunas de las prcticas organizacionales relativas a la seguridad informtica, donde se analizarn en el contexto de los principios de seguridad generalmente aceptados: Confidencialidad, Integridad y Disponibilidad, su utilidad y coherencia con las realidades de la dinmica de las organizaciones. Es importante resaltar, que los anlisis propuestos en la siguiente seccin, responden a la experiencia y anlisis de organizaciones donde existe la distincin de seguridad informtica en algn punto de la funcin de tecnologa de informacin.

REVISANDO LAS PRCTICAS ORGANIZACIONALES EN SEGURIDAD INFORMTICA El tema de seguridad informtica en s mismo, plantea la necesidad de comprender las situaciones a las que nos exponemos cuando no tenemos seguridad. Una clara contradiccin que efectivamente sugiere que estamos constantemente evaluando las expectativas y condiciones esperadas e inesperadas que el contexto de los diferentes elementos y relaciones alcance de la seguridad informtica: tecnologa (T), organizacin (O) e individuo (I), para el buen desarrollo de las operaciones y relaciones de la dinmica de los negocios. La revisin de las prcticas organizacionales de la seguridad informtica, basadas en esta triloga de elementos TOI-, establece una manera de revisar la concentracin de esfuerzos de la organizacin para materializar y avanzar hacia una cultura de seguridad informtica, ms all de las fronteras de las especificaciones tcnicas y dominio de la disciplina de la ingeniera. Si bien esta propuesta no pretende ser la solucin al anlisis de las prcticas organizacionales en seguridad informtica, es una manera de comprender los alcances de dichas prcticas en la realidad de las organizaciones.

En este sentido entenderemos las prcticas como ejercicios permanentes que las corporaciones desarrollan como soporte a las directrices de seguridad informtica (formales e informales) establecidas por las directivas para fortalecer las estrategias de seguridad y control inherentes a los procesos de negocio. A continuacin presentamos un cuadro resumen de algunas de las prcticas organizacionales generales relacionadas con la seguridad informtica. Una marcacin con equis (X) en Tecnologa significa que la prctica esta asociada con mecanismos, dispositivos o software que utilizan (estn capacitadas para usarla) para materializar la prctica. As una equis en la columna Organizacional, se traduce en la formalizacin en la organizacin a nivel global de la prctica en el contexto de una poltica corporativa y una marcacin en la columna individuo, muestra que se considera al individuo en el contexto de la seguridad, esto es, se le capacita, entrena e induce en un entendimiento relacional de sus participacin dentro de la seguridad de la organizacin.
Algunas prcticas Validacin de fortaleza/debilidad de contraseas Pruebas de penetracin (Internas/Externas) Control de acceso (estticas/dinmicas) va contraseas Organizacional X Tecnologa X X X X X X X X X X X Individuo

Control de acceso de paquetes (Packet Filter/Firewall) Revisin de trfico de red (Deteccin de intrusos) Ciframiento de comunicaciones y archivos Uso y actualizacin de sistemas antivirus Definicin y uso de registros de auditora en sistemas electrnicos e informticos Clasificacin de la informacin corporativa Anlisis de riesgos y controles sobre la informacin

Revisando esta clasificacin de las prcticas en los tres elementos: organizacin, tecnologa e individuo, podemos verificar la concentracin formal del tema de seguridad informtica hacia el tema de tecnologa. Es decir, en las organizaciones actualmente las prcticas de seguridad informtica responden al uso de tecnologa de seguridad, las cuales soportan una directriz de la alta gerencia, cuando esta existe con relacin a la manera como se desea desarrollar los negocios. De acuerdo con experiencias internacionales y encuestas alrededor del tema de seguridad, generalmente este tema se asocia con el rea de tecnologa informtica concentrando la inversin y disposicin de la gerencia exclusivamente sobre los

mecanismos de proteccin que se puedan disear para evitar el acceso o uso indebido de la informacin corporativa. De igual forma, el diseo e implementacin de polticas de seguridad, se torna un tema de tecnologas y no de decisin administrativa, que le permita contextualizar al rea a cargo de la seguridad (si existe) los mecanismos diseados para cumplir los lineamientos en este sentido. El aspecto organizacional, precisamente nos propone validar la existencia de una directriz de la organizacin sobre temas especficos que se manifiesten en prcticas de seguridad informtica. Al revisar el cuadro anterior, podemos ver que generalmente son pocos los temas que las directivas asumen como de su nivel, lo que lleva a que las prcticas en s mismas pierdan su sentido en el contexto organizacional y se desarrollen porque hay que hacerlo y no se percibe como parte de un todo corporativo donde lo que est en juego es el nivel de seguridad informtica de la organizacin y por ende su buen nombre. No es de extraar el comportamiento de la columna individuo. La herencia tcnica del tema de seguridad informtica permanece sin considerar al individuo tanto en el contexto de la seguridad a nivel organizacional, como en el uso de la tecnologa de seguridad, as como su papel en la construccin del nivel de seguridad informtica de la organizacin. Si revisamos estos resultados extrados de la realidad de algunas organizaciones, podemos ver que los modelos de seguridad establecidos responden a motivaciones tecnolgicas administradas por profesionales tcnicos en seguridad y no un concepto donde tanto los procesos como los individuos suman en el proceso de construir la seguridad. Si bien la seguridad informtica se materializa en dispositivos tcnicos de seguridad, la alineacin de los procesos organizacionales y la disposicin de los usuarios para comprometerse con prcticas de seguridad, se vuelven elementos estratgicos para comprender las relaciones de las tuplas que plantea una seguridad entendida ms all de los lmites de la TI. Las prcticas actuales de seguridad informtica tratan de integrar al individuo en el uso de las tecnologas de seguridad, limitando su actuacin al buen uso o no de dichas tecnologas, restringiendo la reflexin del concepto de seguridad informtica desde una perspectiva ms estratgica que permita incorporar la prctica y uso de la tecnologa en una realidad corporativa que suma en la manera como se ejecutan los procesos y se ejecutan las funciones de negocio. Por tanto, las prcticas organizacionales actuales sugieren una disociacin de esfuerzos corporativos que se concentran en elementos tecnolgicos (en la mayora de sus casos) y otro tanto en aspectos organizacionales (de procesos), marginando la presencia de los individuos como agentes operadores de las distinciones organizacionales relacionadas con la seguridad. En consecuencia, se hace necesario repensar la visualizacin del concepto de seguridad informtica donde la comprensin de las relaciones de TOI se transformen en realidad tangible para los usuarios, concreta para la organizacin y real para la tecnologa, con el fin de hacer de la

seguridad de la informacin una experiencia que inicia en el individuo, se manifiesta en los procesos y se verifica en la tecnologa. Es decir, un sistema que desarrolla un esquema como un ser vivo, que piensa, para nuestro caso con una mente segura.

LA MENTE SEGURA: HACIA UN PENSAMIENTO SISTMICO EN SEGURIDAD INFORMTICA Hablar de una mente segura, implica la existencia misma de una mente insegura. Dnde se encuentra la mente insegura? Como establecer que contamos con una mente insegura? Para ello, vamos a desarrollar un concepto extendido de mente segura propuesto inicialmente por Day [2003] fundado en virtudes y reglas de seguridad informtica.

CONCEPTOS BSICOS DE LA MENTE SEGURA Contar con una mente segura implica reconocer la esencia dinmica de la seguridad, concentrndose ms que en la dinmica de los elementos de seguridad en una situacin particular, en las virtudes y reglas de seguridad con el fin de tomar decisiones claras, consistentes y efectivas [DAY 2003, pg.5]. Las virtudes mencionadas buscan llamar la atencin de los encargados de la seguridad en la necesidad de contextualizar el tema en prcticas de seguridad en cada uno de los momentos de la organizacin. Para Day [2003, pg.25] las virtudes de la seguridad son: 1. La seguridad debe ser una consideracin diaria. 2. La seguridad debe ser un esfuerzo comunitario. 3. Las prcticas de seguridad debe mantener un foco generalizado. 4. Las prcticas de seguridad deben incluir algunas medidas de entrenamiento para todo el personal de la organizacin. La consideracin diaria de la seguridad busca incluir la distincin de seguridad en cada momento, en cada proceso y en cada persona, de tal forma que al pensar el diseo de una solucin, actualizacin y eliminacin de la misma la seguridad sea una variable requerida dentro del anlisis. Cmo afecta la seguridad el cambio? Esta actualizacin podra generar implicaciones en las condiciones actuales de la seguridad? Podramos llegar a afectar la seguridad de la informacin de nuestros clientes? Nuestra informacin podra estar expuesta si se elimina esta funcionalidad? Estas preguntas, hacen parte de la reflexin de los usuarios finales de las aplicaciones cuando la seguridad hace parte de una conciencia de las personas sobre su

informacin y la de sus clientes. Mientras la seguridad se haga parte de las consideraciones diarias del personal, el nmero de vulnerabilidades asociadas con las relaciones de los sistemas o aplicaciones ser menor. Es importante anotar que las vulnerabilidades siempre estarn presenten en cualquier contexto informtico, slo que se potencian si no se tiene una disciplina de seguridad apalancada en una disciplina y conciencia corporativa reflejada en sus usuarios. El esfuerzo comunitario de la seguridad nos presenta la necesidad de establecer un equipo conjunto entre los profesionales de la seguridad informtica y el personal de toda la organizacin. Generalmente se considera que el problema de la seguridad es de los profesionales de tecnologa que se dedican a esta temtica. Por tanto, es menester de los profesionales de seguridad informtica desarrollar estrategias para vincular de manera natural a los usuarios finales en prcticas de seguridades locales e inherentes a sus labores diarias, con el fin de contar con mayores y mejores aliados para avanzar en una seguridad preventiva y preactiva. Dicha seguridad comunitaria, debera llegar a establecer canales claros para mantener informados a los colaboradores de la organizacin y stos comprendieran las implicaciones de los anuncios con relacin a la seguridad, para as transformar la seguridad de algo que se tiene que hacer, a algo que se hace por conviccin personal y corporativa. Es frecuente ver como las organizaciones permanecen concentradas en aspectos altamente especficos de la tecnologa y sus fallas, los que generalmente terminan con la aplicacin de parches para subsanar la falla puntualmente identificada. Segn Day [2003, pg.31] cuando las corporaciones se concentran en stos detalles especficos, pierden la visin general de la problemtica, generando un importante espacio para la materializacin de otras posibles fallas de seguridad de mayor impacto. Es decir, contextualizar la tcnica generalmente aceptada llamada apagar incendios, lo cual manifiesta una prctica inadecuada de evaluacin y control de la seguridad informtica. En este sentido considerar la reglas de seguridad informtica permiten mantener una visin general y clara de las implicaciones, verificando en segunda instancia los detalles requeridos para la correccin. Lo importante en esta virtud es mantener la vista en lo general para establecer las implicaciones de las implementaciones particulares. El entrenamiento en seguridad informtica es un factor crtico en la construccin de una mente segura. Los cursos especializados y de formacin en tecnologas de seguridad son insumo importante de las reas de seguridad para construir y mantener un conjunto de habilidades tcnicas necesarias para regular y adaptar la arquitectura de seguridad planteada. No obstante lo anterior, el entrenamiento y capacitacin de los usuarios finales en el tema de seguridad es un elemento que define en s mismo el nivel de seguridad de la organizacin. Es decir, la seguridad de una organizacin no se mide por su arquitectura tecnologa dispuesta para la seguridad, sino en el nivel de entrenamiento y participacin de los usuarios finales con relacin a la seguridad informtica. Esta distincin nos sugiere que esta virtud exige de los profesionales de tecnologa, el desarrollo de una relacin cercana entre los usuarios finales y sus

10

necesidades, as como de una capacidad de reporte de posibles fallas de seguridad informtica tanto de los colaboradores como de los profesionales de la seguridad informtica. De otra parte, tenemos las reglas de la seguridad informtica complementarias a las cuatro virtudes sugeridas inicialmente. De acuerdo con Day [2003, pg.40, CANO 2003] existen ocho reglas de seguridad informtica: 1. Regla del menor privilegio 2. Regla de los cambios 3. Regla de la confianza 4. Regla del eslabn ms dbil 5. Regla de separacin 6. Regla de los tres procesos 7. Regla de la accin preventiva 8. Regla de la respuesta apropiada e inmediata Seguidamente comentaremos brevemente en qu consiste cada una de las reglas, con el fin de ofrecer una panormica general que plantee la complementariedad de estos conceptos y las virtudes previamente comentadas. El menor privilegio consiste en ofrecer el acceso requerido ara adelantar la labor solicitada exclusivamente. Es decir, otorgar los permisos estrictamente necesarios para efectuar las acciones que se requieran. Ni ms ni menos de lo solicitado. La regla de los cambios nos dice que los cambios que se presenten deben ser coordinados, administrados y considerados en funcin de las implicaciones de seguridad que estos revistan. Es decir, se hace necesarios que cualquier cambio considere las implicaciones de seguridad que puede tener frente a su contexto. La regla de la confianza establece que debemos comprender completamente los efectos de extender nuestra confianza a un tercero y solamente confiar en lo que se requiere y acuerda de la relacin. La regla del eslabn ms dbil nos recuerda que la seguridad de un sistema es tan fuerte como el componente o relacin ms dbil que se identifique. Esta regla nos recuerda que nuestras decisiones deben evitar introducir eslabones dbiles, documentar aquellos existentes y continuamente buscarlos. La regla de separacin sugiere que para mantener seguro algn elemento, ste debe ser separado de peligros y riesgos de su mundo alrededor. Es decir, slo debe tener

11

acceso el proceso, usuarios o sistema especfico, con el fin de mediar cualquier intento de acceso y tener claridad de quin solicita el mismo. La regla de los tres procesos nos recuerda que la seguridad informtica no termina con la implementacin de los productos o tecnologa. Es una realidad que requiere permanentemente monitoreo y mantenimiento. Esta regla fortalece la tesis de que la seguridad requiere pensamiento y estrategia, y no solamente tecnologa informtica. La regla de la accin preventiva nos alerta y concientiza que la seguridad no puede ser exitosa si no viene acompaada de una aproximacin preventiva. Sin una adecuada formulacin de acciones preventivas la organizacin tendr menos posibilidades de mantener un esquema seguro. La regla de respuesta adecuada e inmediata nos dice que los pasos que una organizacin toma cuando ha ocurrido un incidente de seguridad son tan importantes como las acciones que tomamos para prevenir el ataque. Este regla nos recuerda que una pobre e inadecuada respuesta a una intrusin potencialmente puede causar ms dao que si un intruso lo hubiese hecho en primer lugar. Con estas reglas en mente y operacionalizadas en el contexto del modelo de seguridad informtica corporativa, las decisiones que se tomen respondern a un mayor nivel de conciencia e integracin de la directriz general de seguridad informtica, tendrn sentido para los usuarios finales en sus acciones diarias y orientarn los desarrollos e implementaciones tecnolgicas previstas. Las reglas ms que un conjunto de verdades estratgicas de la seguridad informtica, son un conjunto de prcticas y conceptos generalmente utilizados por las organizaciones, pero que frecuentemente son ignorados en el momento de la implementacin de los proyectos relacionados con la seguridad de la informacin. Por tanto, la motivacin de este documento es cuestionar a todos aquellos involucrados en este tema a que valoren sus prcticas actuales y busquen estrategias para repensar la seguridad informtica como concepto corporativo, articulado con las tecnologas mismas que lo soportan.

LA MENTE SEGURA EXTENDIDA: UNA REVISIN SISTMICA Podramos iniciar diciendo que una mente insegura es aquella que no identifica los elementos y relaciones alcance de la seguridad informtica: tecnologa (T), organizacin (O) e individuo (I). Es decir, que se concentra de manera aislada y especfica en atender los momentos y requerimientos de los elementos, sin percatarse de las relaciones y propiedades que se exhiben en la interaccin misma, perdiendo la riqueza y experiencia misma de las relaciones entre los elementos.

12

Organizacin
pr oc es os
u gu eg Re n n cii ac la

iza ci n

y n n cii ac ta ap da Ad

Co nc ie nt

Entrenamiento y Capacitacin

Individuo

Tecnologa

Figura 1. Una visin sistmica de la seguridad informtica Cuando la seguridad informtica se plantea como una disciplina de relaciones [CANO 2000] y propiedades ms all de los elementos bsicos que la conforman (TOI) estamos presenciando el nacimiento de una mente segura, que no slo reconoce la importancia de sus elementos, sino la dinmica de las relaciones entre las virtudes y las reglas de la seguridad. La figura 1 nos ilustra una manera de comprender de manera sistmica la seguridad informtica. La visin sistmica hace evidentes las relaciones entre TOI, las cuales se revisarn a continuacin. La relacin planteada entre O y T, denominada regulacin y adaptacin, nos sugiere que la seguridad informtica comprendida de manera sistmica es un continuo de regulacin y adaptacin tanto de la organizacin y sus estrategias de negocio como de la tecnologa y su evolucin. No es viable considerar que la organizacin establece directrices y estrategias de negocio apoyadas con tecnologa, en donde la seguridad no cuente como factor de apoyo y valor agregado para ella. En este sentido la regulacin y adaptacin son el ciclo de control de la seguridad informtica que le permite evolucionar conforme evoluciona la organizacin y la realidad inherente a la inseguridad informtica. La relacin I y T, denominada entrenamiento y capacitacin, nos muestra la necesidad constante de la organizacin de elevar los niveles de aprendizaje y uso de la tecnologa, como factor base para promover la regulacin y adaptacin previamente revisadas. En este contexto, la necesidad de entrenar (desarrollo de habilidades tcnicas especficas) y capacitar (informar y conocer sobre temas especficos) es un ciclo complementario que la organizacin debe desarrollar para fortalecer la distincin de seguridad informtica ms all de los elementos tecnolgicos, buscando la integracin de las actividades de los usuarios finales en los temas de seguridad informtica de la organizacin, para formar una cultura de seguridad informtica

13

sustentada en prcticas de inseguridad informtica propias de la dinmica de la seguridad. La relacin I y O, denominada concientizacin y procesos, establece los vnculos formales de la estrategia e importancia de la seguridad informtica para la organizacin. Al integrar las polticas de seguridad informtica [CANO 2001] como polticas globales de la organizacin y la declaracin formal de la gerencia sobre la proteccin de uno de sus principales activos como lo es la informacin, la seguridad informtica avanza en la integracin formal entre el plan estratgico corporativo y la interiorizacin de la seguridad informtica en la organizacin. Cuando una organizacin declara a la informacin como uno de sus principales activos, esta comunicando que los individuos son los custodios formales de dichos activos y sobre ellos la organizacin deposita la confianza y responsabilidad para su adecuado uso. Esta relacin le da fuerza a las otras dos, como elemento catalizador de la creacin de una organizacin con una mente segura, es decir, una propiedad emergente fruto de la interrelacin de las distinciones concebidas dentro de la figura 1. En las organizaciones que no reconocen estas mnimas relaciones entre los elementos de T, O y I, probablemente estarn ms expuestos a la inseguridad informtica, abriendo la posibilidad de fallas y vulnerabilidades en mayor proporcin que otras que frecuentemente trabajan en el fortalecimiento de las relaciones expuestas en la figura 1. Es importante aclarar que la visin presentada, responde a una disciplina formal de la organizacin de apalancar su seguridad informtica en un pensamiento sistmico (basado en una perspectiva relacional) y sistemtico (basado en una secuencia de pasos ordenados a seguir) al mismo tiempo, que por un lado mantiene una visin global de la seguridad y por otro, ejecuta de manera particular con un proceso ordenado que le permite conocer de primera mano su realidad particular en cada uno de sus elementos: TOI. LA PRCTICA DE LA MENTE SEGURA Considerando la visin sistmica extendida revisada en el aparte anterior, detallaremos algunos elementos prcticos que traduzcan las relaciones expuestas con el fin de avanzar en una implantacin de prcticas organizacionales que construyan poco a poco la mente segura como una propiedad emergente de la organizacin y no como una realidad particular en algunos de sus elementos de tecnologa, organizacin o individuo. Para hablar de prcticas de la mente segura, es importante detallar el signo del rostro expuesto en la visin de la figura 2. El rostro pensativo traduce la emergencia de la mente segura que se afianza en una cultura corporativa. Para ellos establece un reto corporativo interno que se plantea en trminos de las cuatro virtudes de la seguridad (ver conceptos bsicos de la mente segura) ms una distincin adicional que

14

denominaremos creatividad y curiosidad disciplinada [Adaptado de: SZULANSKI, G. y AMIN, K. 2001]

Visin de Alto Nivel

Educacin

Creatividad y Curiosidad disciplinada

Consideracin Diaria

Esfuerzo Comn

Figura 2. Visin prctica de la Mente Segura Extendida Cmo practicar la consideracin diaria? Algunas ideas: Establezca cul es su papel frente a la informacin de la organizacin: Custodio, Usuario o Propietario. o Custodio: Responsable por el cumplimiento de las directrices de uso y acceso a la informacin. As como conocer y participar en las estrategias de contingencia y recuperacin de la misma. o Usuario: Responsable por hacer un uso adecuado y tener acceso autorizado a la informacin. o Propietario: Responsable por definir los niveles y estrategias de proteccin de la informacin. Revise los elementos de la seguridad de hogar: llaves, cerrojos, alarmas, armas, etc. Para qu las tiene? De la misma manera se cuentan con mecanismos de seguridad informtica en la organizacin, donde usted es custodio de la informacin que crea, utiliza, procesa, genera y registra en desarrollo de sus actividades de trabajo. La seguridad informtica hace parte de todo su entorno, cada vez que participe en un proyecto considere la seguridad de su informacin, pues recuerde usted es custodio de la misma. Cmo se afectar la informacin? Quin podr tener acceso? Cmo se mantendr la integridad de la informacin? Ante una contingencia, cmo actuaremos? Cmo manejaremos los cambios?

15

En cualquier diseo de aplicaciones o procesos de la organizacin la seguridad informtica debe hacer parte del mismo. Al igual que se requiere aprobacin de los requerimientos y condiciones funcionales para el buen funcionamiento de las aplicaciones y procesos, los requisitos de seguridad informtica tambin deben ser aprobados y documentados. Creacin de concursos y actividades ldicas sobre los fundamentos de seguridad que se cuentan en la organizacin: Crucigramas, cuestionarios, personajes, simulacin de fallas, entre otras.

Practicando la virtud de la Educacin. Algunos elementos para analizar: Orientacin y guas de buenas prcticas de instalacin de software, indicando ejemplos de que est autorizado para instalarse, peligros de instalaciones de software no autorizado. Estas prcticas deben ser aplicables tanto para la organizacin como para los equipos de cmputo personales de cada colaborador. Presentacin y actualizacin permanente de las estrategias utilizadas por los intrusos para vulnerar las arquitecturas de cmputo y cmo ellos pueden prevenir este tipo de ataques. La idea siempre es ofrecer elementos de aplicacin prctica y contar con sitios alternos para ampliar la informacin que se ofrece. Orientacin y guas sobre navegacin el web, indicando sitios y pginas que podran eventualmente afectar la seguridad de sus mquinas. Explicacin detallada de los elementos que podran afectar su navegador: plug-in, cookies, scripts, javascripts, etc. Manejo y control de la informacin confidencial. La idea con esta prctica, es desarrollar elementos prcticos de los procedimientos que se tienen para la informacin clasificada, cmo participan ellos y las maneras a travs de las cuales ellos pueden proteger dicha informacin. Creacin y actualizacin de cursos internos sobre la seguridad de la organizacin: Cmo asegurar su computador personal? Cmo instalar un firewall y sobrevivir en el intento? Cmo cifrar informacin? para dummies.

Revisando y aplicando la visin de alto nivel. Algunas ideas: La visin sistmica no debe ser slo de los altos ejecutivos o responsables directos de la seguridad, es un reto para todos los colaboradores de la organizacin. En este sentido las actividades prcticas deben responder a: Diseo de escenarios de falla generales. Estos son juegos de simulacin que permiten involucrar a los colaboradores y sus actividades dentro de posibles

16

escenarios y ver cmo ellos actuaran frente a la misma. (Es posible aprovechar estos momentos para fortalecer la cultura de prevencin, los planes de contingencia y recuperacin ante desastres). Talleres prcticos de aplicacin de polticas de seguridad informtica. La idea es validar las polticas de seguridad en contextos de aplicacin real: Utilizacin de mecanismos de seguridad integrados para ver las relaciones entre los mismos y hacer evidente como todos los elementos se enlazan, para que los colaboradores se ubiquen dentro de los eslabones de la arquitectura de seguridad. Juegos de roles, donde los participantes se coloquen la camiseta del Director de Seguridad Informtica para conocer ms de cerca las implicaciones de la seguridad para la organizacin y cmo participan ellos en las mismas.

Desarrollando la creatividad y curiosidad disciplinada. Esta virtud responde a la necesidad de contar con un espacio y recursos para investigar y desarrollar nuevas estrategias de seguridad, identificar y validar posibles ataques, probar nuevas tecnologa y aprender de las estrategias de los intrusos. En pocas palabras, la manera como la organizacin se adapta y regula las posibles perturbaciones inherentes a la seguridad informtica, para nutrir el cuerpo de conocimiento organizacional en este tema y promover ideas alternativas para la generacin de valor en las relaciones de negocio. En pocas palabras la prctica de la inseguridad informtica en la organizacin. Creacin de un laboratorio de investigacin y desarrollo interno, que le permita experimentar y probar de primera mano ataques y estrategias de vulnerar arquitecturas de cmputo. Desarrollo de pruebas de penetracin internas y externas peridicas que validen efectividad las actividades y mecanismos de control establecidos en la organizacin. Creacin y actualizacin de guas de aseguramiento de las mquinas corporativas, as como entrenamiento especializado para los encargados de los servicios informticos sobre el uso de las mismas. Identificacin y participacin de los principales foros y eventos nacionales e internacionales sobre el tema de seguridad informtica, con el fin de mantener informada a la organizacin en tendencias y avances en el tema que puedan ser de inters para la misma. Promocin de los programas de certificacin acadmica en temas de seguridad informtica, como una manera de mantener y actualizar las habilidades y conocimiento del personal del rea de seguridad informtica.

17

La prctica del esfuerzo comn. Revisemos ideas: Mantenga informado a todo el personal en un lenguaje claro y preciso sobre las fallas de seguridad informtica identificadas, ofreciendo guas didcticas para que cada persona adelante las actividades necesarias para su mitigacin. El centro de soporte o help desk, debe estar atento a las preguntas o inquietudes que sobre el particular puedan tener los colaboradores. Promueva la formacin de redes de informacin certificada y autorizada por la organizacin sobre vulnerabilidades de seguridad y sus estrategias de prevencin y control. As mismo, cmo notificar y actuar en el caso de un incidente de seguridad informtica. Desarrollar conciencia de seguridad informtica. Esto se traduce en mantener un procedimiento de informacin y notificacin ante eventos inusuales dentro de la organizacin que pudiesen afectar la seguridad informtica. Por ejemplo si se recibe un correo con archivos adjuntos de un origen desconocido, reportarlo a la cuenta de correo reporte@company.com. Luego del anlisis del mismo recibir una respuesta sobre el mismo.

Como se puede observar en las actividades propuestas para cada una de las virtudes de la mente segura extendida, es preciso un gran compromiso organizacional y directivo, as como disposicin e inters de los individuos de la organizacin, que le permita fortalecer adecuadamente los diferentes elementos de la visin sistmica de la seguridad. Con esta presentacin de acciones y sugerencias prcticas no se pretende agotar el funcionamiento e implementacin de una mente segura, sino presentar un espectro de anlisis conceptual y organizacional que le permita al lector visualizar el reto que exige la seguridad informtica ms all de la tecnologa y sus implicaciones. Si bien el concepto de mente segura extendida es una manera holstica de comprender la seguridad informtica como un ciclo permanente de aprendizaje, adaptacin y accin, sustentado en la dinmica de las relaciones previamente comentadas, presenta limitaciones propias que deben ser consideradas para avanzar en la revisin y actualizacin del mismo. Dichas limitaciones, que se presentarn a continuacin responden a la realidad de la gestin de seguridad informtica corporativa, la cual es un requisito que exige del responsable directo de la seguridad informtica, elementos prcticos para verificar el avance y madurez de la funcin de seguridad informtica corporativa. LIMITACIONES Y RETOS DE LA MENTE SEGURA Los elementos hasta el momento revisados ofrecen lineamientos estratgicos y prcticos de la seguridad en un contexto sistmico, que sugiere mayores retos y

18

compromisos de la organizacin para avanzar en la creacin y evolucin de una mente segura. Sin embargo, la visin de una mente segura extendida no ofrece elementos claros para responder a preguntas como: [GEER, D., SOO, K y JAQUITH, A 2003] Mi seguridad informtica actual es mejor que el ao anterior? Cul es el beneficio que estoy obteniendo de toda la inversin que se ha efectuado en seguridad informtica? Cmo me puedo comparar con organizaciones semejantes a la nuestra en el tema de seguridad informtica?

Con el fin de responder a estas preguntas se requiere desarrollar mtricas de gestin de seguridad informtica, que de manera complementaria alimenten los resultados que ofrece la visin sistmica de la seguridad informtica. La gestin de la seguridad en la actualidad es un reto y desafo de las organizaciones modernas dado que no se cuenta con un lenguaje comn, diversas prcticas de seguridad, diferentes significados alrededor de los conceptos, mltiples maneras de recoger informacin sobre la efectividad de la seguridad, pocos modelos y estudios [CAVUSOGLU, H., MISHRA, B. K. AND RAGHUNATHAN, S. 2002, CLAFLIN, B. 2001, GEER, D. E 2001, GORDON, L. A., LOEB, M. P. y SOHAIL, T. 2001, HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. 2001, KAROFSKY, E. 2001, THIEME, R. 2001] en la comprensin del retorno de la inversin en seguridad informtica y una industria de seguridad informtica que sugiere una competencia marcada por la supremaca de las marcas. Todos estos elementos sumados a la necesidad de la gerencia por conocer la respuesta a las preguntas planteadas anteriormente, generan desconfianza y muchas dudas sobre el uso efectivo de los recursos en el tema de seguridad informtica. En este sentido existen algunos trabajos de investigacin y aplicacin que entidades y grupos de investigacin internacionales han venido desarrollando buscando armonizar las diferencias que el tema de gestin de seguridad informtica sugiere. Dentro de los algunos estudios relevantes tenemos:

NIST Special Publicaction 800-55 Security Metrics Guide for Information Technology Systems. Marianne Swanson, Nadya Bartol, John Sabato, Joan Hash, and Laurie Graffo. Julio de 2003. o Esta publicacin ofrece una gua de cmo una organizacin a travs del uso de mtricas, identifica lo adecuado de sus controles, polticas y procedimientos de seguridad informtica. As mismo ofrece una modelo que le permite a la administracin decidir donde invertir en seguridad adicional, valorar la actual y evaluar los controles actuales que no son efectivos. De igual forma la gua detalla el proceso de

19

desarrollo e implementacin de mtricas y como ste puede ser utilizado para adecuar y controlar la inversin en seguridad informtica. Finalmente, el contar con un programa de mtricas en seguridad informtica ofrece datos de inters para la priorizacin y ubicacin de recursos en seguridad informtica, lo que de manera colateral implica la simplificacin de la preparacin de los informes de gestin de seguridad informtica. @Stake Hoover Project o Esta es una iniciativa de una firma consultora en seguridad informtica de gran trayectoria internacional. El proyecto busca establecer el perfil del estado del arte de la seguridad informtica analizando 45 aplicaciones de e-business. Esta iniciativa se concentra directamente en las aplicaciones ms que en los mecanismos de seguridad de las organizaciones por dos razones. Primera, los ataques a nivel de aplicacin pueden vulnerar fcilmente los firewalls. Segunda, es donde se encuentra el dinero, es el medio a travs del cual se transfiere los fondos fruto de la relacin de negocio. Este estudio ofrece elementos estadsticos interesantes como series de tiempo y anlisis cruzados basados en metodologas de administracin de riesgos que permite revisar objetos como fallas, errores o defectos y categoras de riesgos. How much is enough? A risk management approach to computer security. Doctoral Thesis. Stanford University. Center for International Security and Cooperation. Kevin Soo Hoo. 2000. http://exted.fullerton.edu/dschatz/Soo_Hoo_Paper.pdf o Este trabajo doctoral es un estudio detallado y profundo del uso de un discurso de administracin de riesgos que establece una estrategia metodolgica para establecer el retorno de la inversin en seguridad informtica.

Como se puede observar son realmente muy pocos estudios formales [UNIVERSITY OF TEXAS. Economics of IT Security] y detallados con los que se cuenta en el tema de gestin de seguridad informtica. Si bien muchas consultoras internacionales cuentan con metodologas para apalancar la gestin de seguridad, stas son de uso restringido para sus clientes, lo cual hace que el conocimiento acumulado de su experiencia aplicada sea particular y exclusivo. A pesar de estas aparentes restricciones lo importante es continuar la exploracin y buscar elementos que complementen los estudios propuestos, bajo la mira de estrategias y tcnicas de evaluacin de tecnologa informtica, como insumo bsico para continuar comprendiendo el valor de la seguridad informtica en una perspectiva sistmica.

20

REFLEXIONES FINALES La seguridad informtica como hemos revisado ha tenido una marcada influencia del aspecto tecnolgico, lo que ha hecho del tema el dominio de los especialistas de la tecnologa. Sin embargo, con el pasar del tiempo se ha venido fortaleciendo la visin integral de la misma vinculando los procesos de seguridad ms all de las especificaciones tcnicas, desmitificando los conceptos de seguridad informtica en realidades tangibles para los usuarios finales. Las virtudes y reglas de seguridad informtica expuestas (ver conceptos bsicos de la mente segura) nos sugieren el vnculo con la tecnologa informtica de seguridad, abriendo un espacio para integrar a la organizacin y sus procesos de negocio, y ms all de esto, al individuo como participante protagnico en el manejo mismo de la seguridad informtica. Los individuos como custodios naturales de la informacin, haban sido rezagados de esta tendencia integradora de la seguridad, por una tradicin tcnica en estos temas. Con la visin extendida de la mente segura, los individuos no slo hacen parte de la seguridad informtica, sino que son responsables de la dinmica de las relaciones sistmicas de la seguridad informtica. En este sentido, el xito de la seguridad informtica tendr mucha relacin con la manera como se incorpore la distincin de seguridad en cada una de las actividades de la organizacin. Por otra parte, es factor clave en el entendimiento de la seguridad informtica en las organizaciones, el desarrollo de elementos de gestin de seguridad informtica. Si bien, las organizaciones pueden incorporar una cultura de seguridad informtica, es menester del responsable directo de la seguridad evaluar, valorar e informar como se desarrolla este avance. En este medida ser requiere la identificacin de mtricas organizacionales de seguridad que valore los costos directos (ambientales de operacin, hardware, software, instalacin y configuracin, sobrecostos, entrenamiento, mantenimiento) e indirectos tanto humanos como organizacionales [REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. Cap.5 2003], con el fin de establecer con claridad el valor agregado de la seguridad informtica en la dinmica de los negocios de la compaa. Basado en lo revisado en este documento, la seguridad informtica se transforma de una disciplina sistemtica a una disciplina sistemtica-sistmica que no slo responde por las medidas de proteccin y control de la informacin de una organizacin, sino que es la responsable por la adaptacin y regulacin de las relaciones entre los elementos que la conforman (tecnologa, organizacin e individuo) para darle paso al surgimiento de una mente organizacional, una mente segura que no se encuentra en los profesionales de la seguridad informtica sino en los custodios naturales de la informacin en las organizaciones: los individuos.

21

REFERENCIAS BARBARINO, P. (1980) Multi-Tiered Approach to System Security. IEEE Symposium on Security and Privacy 1980 1999. pg 114-121 BARNETT, S. (1996) Computer Security Training and Education: A Needs Analysis. IEEE Symposium on Security and Privacy 1980 1999. pg 26-27. BIBA, K. J. (1977) Integrity Considerations for Secure Computer Systems, Hanscom Field, Bedford, Mass. CANO, J. (2000) Technological Frames recursive construction approach: A systemic theory for information technology incorporation in organizations. Business Information Technology World 2000 Conference. Mxico. CANO, J. (2001) Reflexiones acerca de Estndares de Seguridad Informtica. Computerworld. Colombia. Noviembre. CANO, J. (2003) Breves reflexiones sobre la programacin segura. Revista SISTEMAS. Asociacin Colombiana de Ingenieros de Sistemas ACIS. Septiembre. http://www.acis.org.co/revista/ CAVUSOGLU, H., MISHRA, B. K. AND RAGHUNATHAN, S. (2002) A Model for Evaluating IT Security Investments, Communications of the ACM. http://www.utdallas.edu/~huseyin/investment.PDF CLAFLIN, B. (2001) Information Risk Management at 3Com, Secure Business Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_3com.pdf CLARK, D. y WILSON, D. (1987) A comparison of commercial and military computer security policies. IEEE Symposium on Security and Privacy 1980 1999. pg 184-199 D. BREWER, y M. NASH. The Chinese Wall Security Policy. (1989) Proc. Of IEEE Symposium on Security and Privacy, IEEE Computer Society Press, 1989, pp.206214. D. E. BELL y L.J. PADULA (1976) Secure Computer Systems. Mathematical Foundations, Hanscom Field, Bedford, Mass. DAY, K. (2003) Inside the security mind. Making the tough decisions. Prentice Hall. DENNING, D. E., LUNT, T. F., SCHELL, R. R., SHOCKLEY, W.R. y HECKMAN, M. (1988) The Sea View security Model. IEEE Symposium on Security and Privacy, 218-233. DOBSON, J. E. y McDERMID, J. A (1989) A Framework for Expressing Models of Security Policy. IEEE Symposium on Security and Privacy 1980 1999. pg 229-239 GEER, D. E., Making Choices to Show ROI. (2001) Secure Business Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_making_choices.pdf

22

GEER, D., SOO, K y JAQUITH, A (2003) Information Security: Why the Future Belongs to the Quants. IEEE Security and Privacy Magazine. July/August. GORDON, L. A., LOEB, M. P. y SOHAIL, T. (2001) A Framework for Using Insurance for Cyber Risk Management, Communications of the ACM. December HANCOCK, W. y RITTINGHOUSE, J. (2003) Cybersecurity Operations Handbook. Elsevier Digital Press. HARRISON, M., RUZZO, W., y ULLMAN, J., (1976) Protection in Operating Systems. Communications of the ACM, vol. 19, no. 8, pp. 461 471, HOO, K. S., SUDBURY, A. W. y JAQUITH, A. R. (2001) Tangible ROI through Secure Software Engineering. Secure Business Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_software_engineering.pdf KARGER, P. (1988) Implementing Commercial Data Integrity with Secure Capabilities. IEEE Symposium on Security and Privacy 1980 1999. pg 130-139 KAROFSKY, E. (2001) Insights into Return on Security Investment. Secure Business Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_insight.pdf KRAUSE, M., y TIPTON, H. (Editors) (1999) Handbook of Information Security Management. Auerbach. KREISSIG, G. (1980) A model to describe protection problems. IEEE Symposium on Security and Privacy 1980 1999. pg 9-17 PARKER, D. (1998) Fighting Computer Crime. A new framework for protection information. John Wiley & Sons. PROCTOR, P. y BYRNES, F. C. (2002) The secured enterprise. Protecting your information assets. Prentice Hall. REMENYI, D., MONEY, A., SHERWOOD-SMITH, M. y IRANI, Z. (2000) The effective measurement and management of IT cost and benefits. Second Edition. Butterworth Heinemann. SCHETINA, E., GREEN, K., y CARLSON, J. (2002) Internet Site Security. Addison Wesley. SZULANSKI, G. y AMIN, K. (2001) Imaginacin disciplinada: creacin de la estrategia en los entornos inciertos. En DAY, G y SCHOEMAKER, P (2001) Gerencia de tecnologas emergentes. Wharton School of Business. Ediciones B. Argentina S.A. TERRY, P. y WISEMAN, S. (1989) A New Security Policy Model. IEEE Symposium on Security and Privacy 1980 1999. pg 215-228 THIEME, R. (2001) What Insurance Can and Cant Do for Security Risks. Secure Business Quarterly, Vol. 1, Iss. 2. http://www.sbq.com/sbq/rosi/sbq_rosi_insurance.pdf

23

UNIVERSITY OF TEXAS. Economics http://www.utdallas.edu/~huseyin/security.html

of

IT

Security.

24