Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

GOBIERNO DE SEGURIDAD DE LA INFORMACION

Integracin al Gobierno Corporativo
Ing. Carlos Ormella Meyer

El Aseguramiento de la Informacin y el Corporate Governance

El aseguramiento de la informacin viene evolucionando al pasar por distintas etapas
marcadamente diferenciadas.
Al principio, en lo que podra llamarse una primera Ola, las caractersticas del aseguramiento eran
bsicamente tcnicas en los mbitos de computacin de la poca, mainframes y
minicomputadoras, terminales tontas y procesamiento centralizado.
En estos ambientes se usaban facilidades de los sistemas operativos, tales como Listas de Control
de Acceso, ACL, identificacin de usuarios y contraseas, ms restricciones al acceso fsico a los
equipos centrales.
Un cambio notable se produce en los primeros aos de los 80, una segunda Ola, con el
advenimiento de la computacin distribuida, las redes locales y, un poco despus, Internet y los
albores del e-commerce.
En los nuevos ambientes, adicionalmente a las medidas tcnicas, se hizo necesario establecer
polticas, procedimientos y un nivel de gestin ya no exclusivamente tcnico.
Hacia fines del siglo pasado y principios de la primera dcada del 2000, una tercera Ola se
produjo con un fuerte desarrollo de la gestin y su proyeccin con clientes y proveedores, con
diferentes formas de aseguramiento como seguridad de la informacin institucionalizada bajo
normas de alcance global.
Tambin surgi la necesidad de motivar la concientizacin y de hecho una cultura corporativa
adecuada a la nueva situacin.
Finalmente, desde mediados de la dcada pasada, se viene registrando una cuarta Ola al ir
fortalecindose la idea de tomar conciencia que la seguridad de la informacin es parte de los
negocios, puesto que la informacin es un activo corporativo crtico para mantener sustentables las
operaciones corporativas.
El nuevo escenario delineado conduce a que la seguridad de la informacin se extienda a un
Gobierno de la Seguridad de la Informacin que se integre al Gobierno Corporativo de una
organizacin.
Revisemos primero los principales conceptos del Gobierno Corporativo, mientras que el primero se
ver ms adelante.
Gobierno Corporativo o Corporate Governance: Se define en cmo dirigir y administrar una
empresa, as cmo controlar adecuadamente las operaciones por medio de un sistema de
controles internos. Esto implica la forma en cmo se toman las decisiones corporativas, despus
de ajustar los intereses de las partes interesadas, para definir la direccin y ejecutar las decisiones
tomadas.
21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Pgina 1 de 6

Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

Principios del Corporate Governance . La Organizacin para la Cooperacin y Desarrollo

Econmico, OECD (OCDE en espaol), ha establecido seis Principios de buenas prcticas para
velar por los propietarios o accionistas (shareholders) y en general por todos los interesados
(stakeholders) en el correcto devenir de una empresa.
Uno de dichos Principios titulado Responsabilidades del Directorio de una empresa, expresa
textualmente en el encabezamiento:
El marco de trabajo del gobierno corporativo debiera asegurar una gua estratgica de la
empresa, el monitoreo especfico de la gestin por parte del directorio, y la rendicin de cuentas
del mismo a la empresa, socios y el resto de las personas interesadas en la misma.
El prrafo anterior implica la separacin entre gobierno y gestin, de modo tal que en general la
junta de gobierno o directorio de una empresa ejerce el gobierno de la misma y monitorea la
gestin realizada a otro nivel.
Para ello, el directorio establece polticas y vigila que existan controles adecuados, entre otros
referidos a la Gestin de Riesgos, la que pasa a ser responsabilidad de la gerencia ejecutiva, en
pos de ayudar en la proteccin de los activos importantes de la empresa.
Por otra parte, el mismo Principio mencionado establece que el Directorio tiene que cumplir con
ciertas funciones claves, tales como revisar y conducir la poltica de riesgos y determinar los tipos
y nivel de riesgos que una empresa est dispuesta a aceptar en el cumplimiento de sus objetivos,
as como tambin asegurar la integridad de la informacin corporativa, contando con sistemas
adecuados de control, tales como los sistemas de gestin de riesgos, entre otros.
Al considerar los riesgos corporativos hay que aplicar conceptos de taxonoma, estableciendo
denominaciones y caractersticas, as como las interrelaciones correspondientes..
Esto implica como resultado una clasificacin de los riesgos corporativos, como indican las
Directrices de Seguridad de los Sistemas de Redes e Informacin, tambin de la OECD,
donde se establecen nueve Principios propios, dos de los cuales importan especialmente.
Uno de los Principios de estas Directrices se refiere a la Concientizacin donde aparecen las
personas individualmente y agrupadas, es decir, la gente, como concepto que incluye al individuo
y al colectivo como grupos de individuos (1).
A su vez, otro Principio de las Directrices considera la Valuacin de Riesgos, en base a amenazas
y vulnerabilidades, y establece que los factores que determinan los riesgos pueden ser de carcter
tecnolgico, fsico y humano.
Tambin, que dicha valuacin permita determinar el nivel aceptable de riesgo para as poder
seleccionar los controles apropiados para la adecuada gestin de los riesgos.
En esta clasificacin surge el hecho prctico que pueden producirse eventos negativos debido al
uso inadecuado y descuidado, no slo de los sistemas informticos sino tambin de otras fuentes
de datos por parte de quienes manejan la informacin, o sea en cmo se concreta la parte
operacional correspondiente.

21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Pgina 2 de 6

Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

De hecho, las estadsticas muestran que las situaciones sealadas pueden causar mayor dao
que las propias de la tecnologa.
Efectivamente, ocurre que aunque se tomen medidas de seguridad, sucede que muchas de estas
medidas plantean cambios de conducta que pueden entrar en conflicto con los esquemas de las
personas, por su resistencia natural a los cambios y los mecanismos de defensa que se disparan.
La mayor dependencia resultante de la gente amerita un replanteo del escenario original.
Por otra parte, los riesgos de seguridad de la informacin implican un panorama corporativo
integral que lleva incluso a considerar cmo es el aspecto organizacional de una empresa, las
interrelaciones del organigrama y de la realidad, y la cultura corporativa que concibe la
organizacin con una malla organizativa.
Todo lo analizado seala en la prctica cuatro tipos de riesgos, los tradicionales riesgos tcnicos
de sistemas IT y los de carcter fsico, los riesgos organizacionales recin sealados, y los
riesgos operacionales, que obviamente estn ms all de las cuestiones tcnicas.
La extensin del concepto usual de
seguridad informtica al de seguridad
de la informacin (2), implica un
corrimiento y visin ms amplia de un
marco de riesgos de negocios respecto de
la perspectiva tradicional de seguridad
tcnica (Figura 1).
Este escenario demuestra el error de la
creencia bastante generalizada,
lamentablemente en algunos sectores de
alta y media gerencia de muchas
empresas, respecto a que la seguridad es
simplemente un problema de IT, que el
rea correspondiente debe resolver, y que
por lo cual dicha gerencia se puede olvidar
del asunto.

Figura 1

En conclusin, la alta gerencia debe interesarse y comprometerse en el aseguramiento de la

informacin de negocios y el correspondiente gobierno de la seguridad de la informacin, al
que nos referimos a continuacin, como resultado de su integracin al gobierno corporativo de la
organizacin.

Gobierno de Seguridad de la Informacin

Las decisiones y control de la gestin operativa propia del SGSI responden a decisiones
estratgicas que la conectan con la vigilancia, rendicin de cuentas y decisiones estratgicas,
conceptos propios de un sistema de gobierno.
De hecho, ya se dijo al hablar del Corporate Governance que la seguridad de la informacin debe
responder a un esquema de gobierno, o sea, el Gobierno de la Seguridad de la Informacin.

21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Pgina 3 de 6

Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

Un gobierno adecuado de la seguridad de la informacin formaliza el alineamiento de la misma con

las estrategias y objetivos de negocios, la produccin de valor, la asignacin de responsabilidades
y la rendicin de cuenta por parte de los responsables, as como tambin proporciona capacidad
en la toma de decisiones estratgicas corporativas, cumpliendo incluso con las leyes y
regulaciones correspondientes.
Tambin, al tratar el tema del Gobierno Corporativo, surgi un punto importante referido a que
cuando se habla de gobierno en general hay que destacar que en realidad hay diferencias entre el
gobierno (governance) propiamente dicho y la gestin (management).
Efectivamente, en este punto se puede decir en primer lugar que el rea de cobertura del concepto
gobierno es el del directorio, governing body y en algunos casos de la alta gerencia, top
management, trminos ambos definidos por la reciente ISO 27000:2014.
Y complementariamente, se tiene que el rea de cobertura del concepto gestin es el de la
gerencia ejecutiva, executive management, de nuevo conforme con la ISO 27000:2014.
O sea, el monitoreo de la gestin como responsabilidad de gobierno lo har el directorio,
governing body, lo que implica que habr otra rea de la organizacin que realizar la gestin
correspondiente, precisamente la gerencia ejecutiva, executive management, de acuerdo con
las denominaciones que mencionramos antes.
El Gobierno de la Seguridad de la Informacin ha sido plasmado recientemente en una nueva
norma de alcance global. Se trata de la ISO 27014 de Gobierno de Seguridad de la Informacin
que define el escenario bosquejado en los prrafos anteriores.
Esta norma proporciona orientacin respecto de conceptos y principios para el gobierno de la
seguridad de la informacin, de modo tal que las organizaciones pueden evaluar, dirigir,
monitorear y comunicar las actividades relacionadas con la seguridad de la informacin en el
entorno de la organizacin.
Concretamente, la ISO 27014 establece un marco de trabajo para la gestin de riesgos de
seguridad correspondientes al conjunto de normas de la serie 27k, en la prctica un conjunto autosustentable de normas de seguridad de la informacin.
El marco de trabajo se compone de seis Principios y cinco Procesos.
Los Principios son conceptos de alto nivel orientados a la accin, segn lo que sigue.
Principo 1: Establecer la seguridad de la informacin en toda la organizacin.
Principo 2: Adoptar un enfoque basado en riesgos.
Principo 3: Fijar las directivas de las decisiones de inversin.
Principo 4: Asegurar el cumplimiento de los requerimientos internos y externos.
Principo 5: Fomentar un ambiente positivo de seguridad.
Principo 6: Revisar el rendimiento en relacin con las resultados de los negocios.
Los Procesos, por su parte, son diferentes tareas implementadas en la interrelacin entre el
directorio y la gerencia ejecutiva en forma consecutiva y cclica, segn se expone a continuacin.
21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Pgina 4 de 6

Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

1 - Dirigir: El directorio establece las directivas de implementacin conforme los objetivos y

estrategias de seguridad de la informacin.
2 - Evaluar: La gerencia ejecutiva presenta sus propuestas al directorio en base a tales directivas.
El directorio las evala y, si es necesario, reitera la etapa de Dirigir.
3 - Monitorear: El directorio establece el rendimiento de las medidas de implementacin
implementadas por la gerencia ejecutiva.
4 - Comunicar: Se establece una doble va entre directorio y stakeholders, donde el primero
recibe los requerimientos de los stakeholders para posteriormente informarles sobre los resultados
acerca de la seguridad de la informacin que resulte apropiada para las necesidades especficas
de los mismos.
5 - Garantizar: El directorio comisiona la revisin de los procesos a auditores independientes y
objetivos quienes, a su vez, producen las recomendaciones correspondientes.
Como conclusin de todo lo anterior, la norma habla en forma taxativa del Information Security
Governance integrado al Corporate Governance.
Por otra parte, conforme lo comentado antes, la norma tambin separa las funciones del directorio,
o junta de gobierno, de la gestin ejecutiva de alto nivel, distinguiendo de hecho roles de
gobierno, tales como el establecimiento de directivas y monitoreo por parte de la direccin, de los
propios de la gestin, que se realiza a nivel gerencial.
Las diferencias apuntadas entre gobierno y gestin en el rea de la seguridad de la informacin,
responden a un enfoque que suele generar confusiones en otros tipos de gobierno, incluyendo el
propio de IT.
Efectivamente, en los ltimos meses se ha venido procurando comparar al Gobierno de
Seguridad de la Informacin con el Gobierno IT .
Resumidamente se puede decir que el Gobierno IT provee, bsicamente a partir de la norma ISO
38500, una gua a la organizacin con respecto a que las decisiones estratgicas de IT tambin
son funciones del directorio.
En cambio, en el contexto del gobierno
organizacional, la seguridad de la informacin
tiene alcance total en todas las funciones de una
organizacin como parte del aseguramiento de
sus operaciones, lo que es coherente con la
integracin del Gobierno de la Seguridad de la
Informacin al Corporate Governance.
En definitiva, en el contexto del gobierno
organizacional, el Gobierno de Seguridad de la
Informacin y el Gobierno IT resultan entidades
separadas, salvo una interaccin a nivel
precisamente de la seguridad IT o sea tcnica
21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Figura 2

Pgina 5 de 6

Ing. Carlos Ormella Meyer y Asoc.

Gestin y Auditora de Riesgos y Seguridad de la Informacin

Tel: +54-11-4371-4638 Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar

(Figura 2), conforme las diferencias sealadas antes entre Seguridad de la Informacin y
Seguridad Informtica.
Se puede acotar finalmente que la Seguridad de la Informacin, potenciada ahora con el
concepto del Gobierno de la Seguridad de la Informacin, puede acelerar el reconocimiento de
lo errnea de la percepcin que la seguridad es un problema de IT como se comentara antes.
Y esto es, entre otras cosas, porque hoy ya se sabe que los incidentes no tcnicos, especialmente
en gran parte con alto contenido subjetivo y dependiente del conocimiento, actitud y
comportamiento de las personas, pueden tener tanto o ms trascendencia que los de IT en las
operaciones de una organizacin.

Referencias
(1) El Factor Gente y la Seguridad de la Informacin:
http://www.criptored.upm.es/guiateoria/gt_m327f.htm
(2) Seguridad Informtica vs. Seguridad de la Informacin?:
http://www.criptored.upm.es/guiateoria/gt_m327d.htm

21/05/2014 - 09:16:17 AM

Ing. Carlos Ormella Meyer

Pgina 6 de 6