UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA

El modelo de negocio de Seguridad de la

Informacin

1. Introduccin

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
En enero de 2009, ISACA introdujo la comunidad de seguridad para el
modelo de negocio para la Seguridad de la Informacin. La publicacin
ofrece profesionales de la seguridad una mirada hacia un nuevo enfoque
para la gestin eficaz de la seguridad de la informacin. BMIS se centra en
el entorno empresarial en el que la seguridad de informacin opera entre
otros procesos de negocio. Este enfoque particular ofrece una visin ms
amplia de los procesos y los sistemas de valores de conduccin dentro de la
empresa que afectan o son afectados por la seguridad de la informacin.
Como relativamente joven profesin, seguridad de la informacin ha tenido
problemas para cumplir con los objetivos de negocio en un entorno de
riesgo que cambia rpidamente. Aunque los profesionales de seguridad han
logrado mantener muchos ataques potenciales en la baha, se han
producido varios costosas infracciones muy publicitado, de seguridad que
han causado a algunos a preguntarse hasta qu punto la informacin
efectiva los programas de seguridad son. Desde una perspectiva
empresarial, los principales objetivos de cualquier empresa son a menudo
muy alejados del mundo tcnico de TI y seguridad de la informacin. Para
cerrar la brecha entre lo que hace la empresa y cmo esto est apoyado por
una fuerte seguridad, BMIS realinea contenido tcnico con el pensamiento
de negocios y un punto de vista estratgico.
Para ser justos, los profesionales de seguridad de la informacin han hecho
un trabajo encomiable teniendo en cuenta los pocos recursos disponibles.
Los bajos presupuestos, personal limitado y acceso restringido a apoyo
ejecutivo son obstculos comunes que los profesionales de seguridad de la
informacin se enfrentan al tratar de proteger los activos de informacin,
minimizar los riesgos y entregar valor al negocio. Adase a esto un cambio
continuo entorno regulatorio y constantemente surgiendo nuevos riesgos y
es fcil ver por qu la seguridad informtica ha luchado para sobrevivir
como una funcin. Estos obstculos en el trabajo de seguridad en el da a
da a menudo surgen de un malentendido fundamental. Aunque los lderes
de la organizacin son conscientes de los riesgos y dispuestos a abordar los
riesgos de una manera prctica, la complejidad de la seguridad de la
informacin requiere de habilidades y conocimientos especficos. Ms a
menudo que no, los expertos en seguridad tienen dificultades para articular
el valor que seguridad de la informacin puede aportar a la empresa a
travs de asegurar que los recursos de informacin no slo estn protegidos
de los que no deben tener acceso a ellos, pero tambin est disponible y
precisa para que la informacin los que deben tener acceso. BMIS
proporciona el marco y mentalidad para las comunicaciones entre los
profesionales de la estructura de gestin y seguridad de alto nivel.
La conciencia de la necesidad de seguridad de la informacin ha crecido
notablemente, posiblemente debido a aumentos tanto en la regulacin y la
actividad maliciosa. Como resultado, algunas empresas han creado
programas de seguridad, la colocacin de la gente de TI-algunos de los
cuales pueden haber tenido poca seguridad experiencia a cargo de la nueva
iniciativa. En otras empresas, profesionales de la seguridad han sido trados
especficamente para resolver los problemas existentes. Otras empresas
han utilizado consultores externos para disear, implementar y mejorar sus
programas de seguridad de la informacin. Estas iniciativas, aunque positivo

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
en s mismos, necesitan un marco ms amplio para que estn en
consonancia con los objetivos de negocio. Tanto el gasto en seguridad y
trabajando en las medidas de seguridad especficas requieren un modelo de
negocio claro que puede ser justificada en cualquier momento para la alta
direccin.
Hasta ahora no ha habido un modelo holstico o dinmico para los
administradores de seguridad para utilizar como gua. Hay muchas normas
que pueden ser utilizados para la evaluacin comparativa y proporcionar
direccin, y no son tan muchos marcos que pueden servir como guas tiles
para la aplicacin, pero no ha habido ningn modelo general que podra
existir en cualquier empresa, independientemente de su ubicacin
geogrfica, la industria, tamao, la regulacin o el protocolo existente.
Muchas personas pueden pensar que estn en el camino correcto, ya que se
han alineado su programa con una norma o marco existente. Mientras que
estas vas pueden parecer para liderar el profesional de la seguridad en la
direccin correcta, hay un componente esencial que falta. Marcos y normas
han ayudado a hacer frente a necesidades especficas, pero no han
proporcionado una solucin integral que examina toda la empresa y los
estudios de cmo la misin de la organizacin afecta el programa de
seguridad y viceversa. Para entender el panorama general, los
administradores de seguridad de la informacin deben tener una visin ms
amplia.
BMIS llena este vaco y dirige el programa de seguridad en el nivel
estratgico o de negocio. El modelo permite a los administradores de
seguridad para obtener una visin amplia de lo que est sucediendo en la
empresa, lo que les permite tratar mejor a riesgos de la informacin,
mientras que ayudar a la alta direccin en el cumplimiento de sus objetivos.
Al observar el programa de seguridad desde una perspectiva sistmica,
BMIS proporciona un medio para profesionales de la seguridad a tener en
cuenta las reas que no hayan sido contabilizados en las normas existentes.
BMIS tambin proporciona un mecanismo para que los profesionales de
seguridad para internalizar el hecho de que las nuevas amenazas y nuevos
ataques se producen con regularidad.
Para entender el modelo, es importante distinguir entre los modelos,
estndares y marcos. Mientras BMIS puede ayudar a superar algunas de las
conocidas dificultades en seguridad de la informacin, es sobre todo un
modelo que debe ser apoyado por las normas y marcos adicionales.

Modelos
Si bien hay muchas definiciones para la palabra "modelo", todos ellos
describen la imitacin o representacin de una forma u otra. Una definicin
de uso frecuente para los modelos tericos es "una descripcin esquemtica
de un sistema, la teora o fenmeno que da cuenta de sus propiedades
conocidas o inferidas y puede ser utilizado para estudiar ms a fondo sus
caractersticas. Un modelo puede ser considerado como una descripcin
terica de la forma en que un sistema funciona. Sin embargo, a menudo
necesita ser simplificado en cierta medida para ser til en la prctica.

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
En general, los modelos tienen que ser flexibles para satisfacer las
necesidades del mundo empresarial. Tienen que ser probado en ocasiones
para asegurarse de que siguen siendo aplicables y ajustarse a la finalidad
prevista, y deben incorporar los cambios en los sistemas y las empresas en
las que existen. Es importante recordar que los modelos son descriptivos,
pero no normativo. Un modelo de seguridad global como BMIS debe, por lo
tanto, ser la base de todas las normas y marcos aplicados en el campo de la
seguridad de la informacin. Al mismo tiempo, BMIS debe ser capaz de
adaptarse a los cambios de forma rpida y poner de relieve las
consecuencias para la empresa.
Los modelos a menudo son utilizados por las empresas para fomentar la
innovacin y maximizar el valor generado a travs de la innovacin o el
cambio. Pueden ser utilizados dentro de una empresa para traducir la
estrategia y la misin en conceptos y medidas aplicables a los procesos o
entidades organizativas. Los modelos pueden ayudar a definir una meta y
crear el plan para llegar all. Empresas como IBM, Xerox y Fujitsu han
utilizado modelos de aos para mejorar las cadenas de valor. De hecho, en
un plan de negocios el modelo puede ser ms rentable para la empresa que
la propia tecnologa. Un ejemplo es el plan operativo para el Xerox 914
copiadora. Xerox haba creado una nueva tecnologa que fue superior a
otros productos de copia, sino que era de seis a siete veces ms caro que la
competencia. Despus de ser rechazado por las grandes empresas para la
comercializacin de las asociaciones, Xerox decidi comercializar la
tecnologa en s misma con un nuevo modelo de negocio. En lugar de
vender productos y confiando en el servicio para los beneficios, Xerox
arrienda el equipo a los clientes y luego cobrar una tarifa por copia de algo
ms de 2.000 ejemplares. Debido a la calidad que la tecnologa Xerox trado
al campo era tan superior a la de sus competidores, los clientes se
incrementaron el nmero de copias que hizo-lo que resulta en una tasa de
crecimiento anual de 12 aos de 41 por ciento para la empresa.
Al igual que el modelo de negocio aument Xerox mediante la extraccin de
valor econmico para la empresa a travs de tecnologa innovadora, BMIS
crea oportunidades para el programa de seguridad de la informacin para
establecerse como un slido habilitador de negocios teniendo en cuenta el
impacto de la seguridad en la empresa.

Marcos
Los marcos proporcionan estructura. Ellos pueden ser considerados como el
sistema esqueltico sobre la cual el cuerpo de un programa de sonido puede
ser construida. En general, los marcos son de carcter operativo y
proporcionan una descripcin detallada de cmo implementar, crear o
administrar un programa o proceso. Marcos son tpicamente basado en
principios y abiertos a la mejora continua. Como resultado, los marcos
generalmente se basan en las normas subsidiarias a 'hacer que suceda ", y
se complementan adems con guas de implementacin y otros documentos
detallados.

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
Marcos son herramientas indispensables que pueden ayudar a los
administradores de seguridad en el desarrollo y la implementacin de un
programa de seguridad robusta y asegurar su xito continuo a travs de la
supervisin. Los marcos son muy detallados y proporcionan acciones
especficas recomendadas que han demostrado ser tiles para muchos
gerentes de seguridad de la construccin de un programa. Aunque no
existen marcos dedicados a seguridad de la informacin en este momento,
hay muchos marcos de riesgo que pueden ser de utilidad. OCTAVE4 es un
marco de riesgo. COBIT5 y el Control Interno Integrado Framework6 son
ejemplos de marcos de gran alcance que cubre la gobernanza y gestin de
TI que pueden ser de ayuda en la creacin y mantenimiento de un programa
de seguridad. ITIL7 tambin define un proceso de gestin de la seguridad
basado en el cdigo de prcticas se define en la norma ISO 27002. Adems,
el riesgo de ISACA TI framework8 es un marco integral para la gestin de
riesgos relacionados con TI. En contraste con los modelos discutidos
previamente, marcos suelen ser normativo ms que descriptivo.

Normas
De acuerdo con la British Standards Institute (BSI), un estndar es una
manera repetible 'acordado, de hacer algo. Se trata de un documento
publicado que contiene las especificaciones tcnicas u otros criterios
precisos diseados para ser utilizados consistentemente por norma,
directriz, o definicin adicional definition'.an indica que una norma es una
base de comparacin; un punto contra el que otras cosas se pueden evaluar
de referencia.
Estas definiciones se alinean con cmo se ven las normas de la comunidad
de seguridad de la informacin: proporcionar a los profesionales de
seguridad de informacin con un sentido de direccin y una forma de
evaluacin comparativa de los progresos de la empresa hacia las mejores
prcticas.
Normas de uso ms comn en el campo de la seguridad de informacin
incluyen la Organizacin Internacional de Normalizacin (ISO) 27001: 2005 y
la serie ms amplia ISO 27000, el Instituto Nacional de Estndares y
Tecnologa (NIST) Publicacin Especial (SP) 800-53 y la Tarjeta de Pago
Industria Data Security Standard (PCI DSS). Este ltimo es un ejemplo de
seguridad de la informacin especfica necesaria para algunos de los
procesos que una organizacin de servicios financieros podra estar usando.
Sin embargo, a menudo se requiere un mayor contexto para habilitar e
informar a un costo-efectiva, la implementacin integrada de PCI DSS. BMIS
puede ayudar a proporcionar el contexto sistmico en el que los procesos de
tarjetas de pago estn operando, y las consecuencias para las medidas de
seguridad de informacin adoptadas para abordar la norma.

Combinando Modelos, Marcos y Estndares

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
Tomando nota de la distincin entre los modelos, estndares y marcos, es
claro que la seguridad de tres la informacin ha estado ausente. Los
profesionales de seguridad llevan tiempo tratando de alinear las actividades
del programa con estndares mltiples, reglamentos y marcos y han estado
perdiendo un modelo global que ayudarles a mantener la informacin
protegida. Por qu es necesario un modelo? Incluso con el uso de marcos y
normas, profesionales de la seguridad se enfrentan a desafos tales como la
comprensin de la alta direccin y el compromiso con las iniciativas de
seguridad de la informacin, la participacin de seguridad de la informacin
en la planificacin previa a la aplicacin de las nuevas tecnologas, la
integracin entre el negocio y la seguridad de la informacin, la alineacin
de seguridad de la informacin con los objetivos de la empresa, y la
propiedad de la direccin ejecutiva y la lnea y la responsabilidad de la
ejecucin, el seguimiento y presentacin de informes sobre seguridad de la
informacin.
BMIS aborda estos desafos al ofrecer una manera para que las empresas
sintetizan los marcos y normas que estn utilizando y un modelo formal que
pueden seguir para crear un programa de seguridad de la informacin
integral que hace ms por la empresa que los enfoques tradicionales.

Estado de Seguridad
Los cambios en la tecnologa, la creacin de redes mundiales y el uso
generalizado de la tecnologa de la informacin han elevado la necesidad de
una gestin de riesgos eficaz de la informacin. Medida que las empresas se
esfuerzan por mantener la rentabilidad, los ejecutivos han reconocido que
las brechas de seguridad de informacin pueden ser una seria amenaza
para la marca y la imagen de la empresa. Los profesionales de seguridad de
la informacin se encuentran en una situacin nica: se han convertido en
el responsable de uno de los activos ms importantes de la empresa y
pueden demostrar el valor de la empresa mediante la alineacin del
programa de seguridad con los objetivos empresariales y la gestin del
riesgo de los activos de informacin.
En los ltimos 10 aos, se han producido numerosos problemas que afectan
a la seguridad de la informacin. Entre ellas se encuentran las regulaciones
como Basilea II, los EE.UU. Seguro de Salud Ley de Portabilidad y
Responsabilidad (HIPAA) y la Ley Sarbanes-Oxley; el aumento de las
amenazas internas; tecnologas emergentes; y el aumento de las amenazas
externas. En respuesta, la proteccin de la informacin no ha mejorado, al
menos estadsticamente hablando. En 2005, un grupo de personas comenz
a recopilar datos sobre violaciones de seguridad en los Estados Unidos y
publicarlos en lnea en www.privacyrights.org. Con pocas excepciones, las
estadsticas demuestran un patrn alarmante de aumento de la prdida de
datos. Cada ao, desde 2005 hasta 2008, el nmero de violaciones de datos
aument: 157 en 2005, 321 en 2006, 446 en 2007 y 656 en 2008.11 El

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
costo que las empresas estn incurriendo debido a estas infracciones
tambin est en aumento.
Como se mencion en el Resumen Ejecutivo y en la figura 1, el Instituto
Ponemon realiza un estudio anual sobre el costo de las brechas de
seguridad. El costo ha aumentado constantemente en los ltimos cinco
aos. En 2005, el estudio revel que el costo promedio (costos directos e
indirectos) de una empresa fue de aproximadamente US $ 138 por
incidente. Los resultados de 2010 muestran que en 2009, ese costo se elev
a cerca de US $ 204 por incidente.
Este aumento en los costos y la frecuencia de las violaciones es significativo
porque, durante ese mismo perodo, la seguridad de la informacin ha
experimentado avances significativos. Las tecnologas como firewalls,
sistemas de deteccin de intrusiones (IDS), sistemas de prevencin de
intrusiones (IPS), la prevencin de fugas de datos, control de punto final,
routers, switches y otros componentes, tales como la gestin de identidad y
acceso (IAM) se han creado o mejorado para permitir una mejor seguridad.
La legislacin se ha incrementado exponencialmente, con lo que la atencin
a los activos de informacin. Delincuencia, el terrorismo y los desastres
naturales han puesto de relieve la necesidad de mejorar la proteccin de la
informacin. La poderosa combinacin de innovacin tcnica, el aumento de
la conciencia de los ejecutivos y el aumento de los recursos han ido
acompaado de un aumento de las amenazas, los riesgos y las violaciones
de xito. Seguridad simplemente no ha demostrado la mejora que se
esperara que se correlaciona con el crecimiento de la profesin ha
experimentado.
Uno podra pensar que, con la introduccin de la tecnologa de seguridad
avanzada, aument enfoque regulatorio y los incentivos para que las
empresas inviertan en la proteccin de la informacin, los incidentes de
seguridad sera raro. Sin embargo, la verdad es que an con los avances
que se realizan, los incidentes de seguridad siguen sucediendo. La
informacin privada todava se ve comprometida. Incidentes internos y el
fraude son reportados con demasiada frecuencia. Por qu es seguridad de
la informacin no mejorando a pasos agigantados? Una respuesta es que los
profesionales de seguridad de la informacin siguen encontrando a s
mismos reaccionando a los problemas dentro de la empresa en lugar de
tomar una postura proactiva. Esta lucha contra el fuego constante deja poco
tiempo para la innovacin, el pensamiento estratgico y la planificacin. Los
profesionales de seguridad vuelven a aplicar controles a los problemas a
medida que surgen, a menudo con un exceso de confianza en la tecnologa.
Esto suele ir acompaada de una falta de datos histricos, por lo que los
problemas persisten, a pesar de que han sido 'fijo' en algn momento
anterior. Otra respuesta es que los ataques, el comportamiento negligente y
errores humanos se han vuelto ms frecuentes, dado el aumento en el uso
de las TI como una forma de hacer negocios. Una tercera respuesta es que
el uso de las TI en la vida del da a da se ha convertido en omnipresente. La
mayor parte de nuestras actividades diarias, desde la banca a casa para
pedir una pizza, se llevan a cabo en lnea. Naturalmente, esto crea muchas
nuevas amenazas y desafos a la seguridad.

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
Adems, muchas culturas empresariales no han aceptado seguridad de la
informacin, y los gerentes de seguridad de la informacin seguirn
luchando para demostrar valor. Cuando la gestin de riesgos de la
informacin no est integrado en el negocio, silos organizacionales pueden
reducir las oportunidades de soluciones estratgicas. Un enfoque basado en
el riesgo global de la gestin de los activos de informacin debe ser
implementado. Profesionales de la seguridad de la informacin deben mirar
a los sistemas empresariales y desarrollar soluciones que crean
oportunidades y reducir al mnimo el riesgo.

Resultados de Seguridad de la Informacin

Seguridad de la informacin tiene que ser muchas cosas a la empresa. Es el
guardin de los activos de informacin de la empresa. Esto exige el
programa de seguridad de la informacin para proteger los datos de la
organizacin al tiempo que permite a la empresa a alcanzar sus objetivos de
negocio - y tolerar un nivel aceptable de riesgo al hacerlo.
Esta tensin entre el riesgo empresarial y la proteccin puede ser difcil de
manejar, pero es una parte fundamental del trabajo de un profesional de la
seguridad. El suministro de informacin a los que debe tener es tan
significativo como lo protege de los que no debe tenerlo. Seguridad debe
permitir a la empresa y apoyar sus objetivos en lugar de convertirse en su
propio beneficio.
Desde la perspectiva de la gobernabilidad hay seis principales resultados
que el programa de seguridad debe trabajar para lograr. En su publicacin
en el gobierno de la seguridad de la informacin, ISACA ha definido estos
resultados como:

Alineacin estratgica
Gestin de riesgos
Entrega de Valor
Administracin de recursos
Gestin del rendimiento
La integracin de procesos de Aseguramiento

Hay una serie de indicadores para la integracin de las diversas funciones

relacionadas con la seguridad. Lo ms importante, no debe haber lagunas
en el nivel de proteccin de la informacin de activos. Los solapamientos en
las reas de planificacin o de gestin de la seguridad deben ser
minimizados. Otro indicador es el nivel de integracin de las actividades de
aseguramiento de la informacin con seguridad. Roles y responsabilidades
deben estar claramente definidos para funciones especficas. Esto incluye
las relaciones entre los diversos proveedores internos y externos de

UNIVERSIDAD NACIONAL DEL SANTA

EAP: SISTEMAS E INFORMATICA
aseguramiento de la informacin. Todas las funciones de aseguramiento
deben ser identificadas y consideradas en la estrategia general de la
organizacin.