PDF de programación - Memorias - VIII congreso iberoamericano de seguridad informática

Modelo PERIL.

Repensando el gobierno de la seguridad de la
información desde la inevitabilidad de la falla

Jeimy J. Cano

Resumen— La práctica actual de seguridad de la información
en las organizaciones ha estado marcada por un ejercicio de
aplicación virtuoso de estándares para asegurar una gestión
eficiente y efectiva de la protección de la información, el cual
busca alcanzar certezas, pocos defectos y actuaciones predecibles
antes eventos inesperados. Sin embargo, el contexto actual
marcado por un entorno VICA - Volátil, Incierto, Complejo y
Ambiguo, demanda actualizar la forma como se gobierna la
seguridad de la información para lo cual se introduce el modelo
PERIL, que fundado en la incertidumbre, la debilidad y las fallas
permite dar cuenta de un ejercicio complementario de la
seguridad de la información que fortalece lo virtuoso de su
gestión y revela lo valioso de su gobierno.


Palabras clave — incertidumbre, estándares, gobierno de la
la

inseguridad de

seguridad,

la

seguridad, gestión de
información.

I. INTRODUCCIÓN

L

As empresas del siglo XXI están fundadas sobre la base
del tratamiento de la información como quiera que en las
relaciones que desarrollan lo que fluyen es este recurso natural
de la sociedad de la información y conocimiento. Podríamos
decir que poco a poco, la información, se está convirtiendo en
un “commodity” y las corporaciones deberán incorporar
prácticas estándar que permitan una mayor fluidez de las
operaciones
altamente
interconectado [8] [9].


negocios

entorno

un

y

en

De igual forma, se han desarrollado múltiples iniciativas
internacionales para avanzar en una adecuada gestión de
seguridad de la información [15] que buscan cubrir aspectos
tácticos y estratégicos claves para asegurar un entorno más
seguro y confiable para las empresas. Dentro de estas
podemos anotar la serie ISO 27000 , los esfuerzos de ISACA
con el BMIS (Business Model for Information Security), sus
planteamientos desarrollados en el manual de la Certificación
CISM (Certified Information Security Manager) y en el Cobit
5 for Information Security , así como el NIST 800-53
(Security and Privacy Controls for Federal Information
Systems and Organizations), el ISM-3 (Information Security
Management Maturity Model) y los avances académicos de
los profesores Von Solms [17] relacionados con buenas
prácticas y guías para un adecuado gobierno de la seguridad
de la información.


Bien anota Goodman [12, p.99] que “mientras mayor
producción y almacenamiento de datos tengamos, mayor será
el interés del crimen organizado para consumirlos”, lo que
supone romper el imaginario construido alrededor de la
seguridad de la información para reconectar a las personas, sus
comportamientos y supuestos, los escenarios posibles y
probables,
focales y
emergentes, las lecciones aprendidas y por aprender, así como
las pruebas controladas y no controladas para proponer una
forma diferente de gobernar la seguridad de la información.

riesgos conocidos,

latentes,

los

Sin perjuicio de lo anterior, las organizaciones se enfrentan
a escenarios cambiantes y riesgos emergentes, donde la
información se convierte en el foco de las acciones de los
posibles atacantes, habida cuenta que es con este insumo
clave, como se desarrollan nuevas forma de hacer negocios, se
crean servicios novedosos o propuestas inéditas que pueden
terminar incluso como patentes las cuales representan la
apuesta de valor de las corporaciones modernas [12].

imaginario colectivo que relaciona


En este sentido, por más de cuarenta años se han venido
desarrollando prácticas de protección de la información,
tecnológico,
generalmente aplicadas desde el ámbito
consolidando un
la
seguridad de la información únicamente con palabras como:
antivirus, sistemas de detección de intrusos, cortafuegos, redes
virtuales privadas, cifrado, entre otros, las cuales demandan un
conocimiento específico y personal especializado, asociando a
éstos últimos, el ejercicio exclusivo de la protección de los
activos de información de la empresa.


Jeimy J. Cano M., Universidad de los Andes/Universidad Santo Tomás de

Aquino, Colombia, [email protected]



implica


El gobierno de la seguridad de la información en el
contexto de un entorno VICA - Volátil, Incierto, Complejo y
Ambiguo [18],
los conocimientos y prácticas
conocidas hasta el momento para entrar en tensión conceptual
con esta realidad, comprometiendo nuestra capacidad de
prever y responder ante lo inesperado. En este sentido, se hace
necesario transformar nuestra forma de comprender y leer la
realidad, para enfrentarnos a la inestabilidad que genera la
incertidumbre y repensar la forma en la cual reconocemos y
actuamos en dicho contexto.


En razón con lo anterior y reconociendo los importantes
avances y aportes académicos y prácticos que se tienen a la
fecha, se propone un modelo de gobierno de seguridad de la
información, que busca incorporar a la investigación actual
elementos novedosos y prácticos que apalanquen los esfuerzos
actuales y motiven un cambio en la forma como conocemos y
fundamentamos las reflexiones sobre la seguridad de la
información en las organizaciones del siglo XXI.


La organización del trabajo es la siguiente: en la Sección I




se explican los tres principios básicos del gobierno de la
seguridad de la información basados en la incertidumbre, la
debilidad y la falla. Seguidamente en la Sección II se detalla el
concepto de seguridad por vulnerabilidad donde se introduce
el modelo PERIL. La Sección III muestra un caso de estudio
de aplicación del modelo PERIL comparado con
las
estrategias de gestión de seguridad actuales, para finalmente
plantear algunas conclusiones sobre el modelo PERIL y su
aplicación en la Sección IV.

las normas ISO), a través de actividades concretas y
específicas, aseguran los entregables previstos, los modelos de
gobierno se fundan en medio de la incertidumbre para tratar de
navegar en a través de tensiones, intereses y presiones
políticas para alcanzar su misión: conducir la nave que tiene a
cargo, a través de caminos inciertos e inesperados, para lograr
los objetivos propuestos, privilegiando el bien general sobre el
bien particular como se puede observar en la Fig.1.



I. INCERTIDUMBRE, DEBILIDAD Y FALLAS: TRES PRINCIPIOS

BÁSICOS PARA EL GOBIERNO DE LA SEGURIDAD DE LA

INFORMACIÓN

Si entendemos que la seguridad de la información es un
responde
ejercicio en permanente obra gris y que
necesariamente a la inevitabilidad de la falla, no podemos
fundar su gobierno solamente en los riesgos conocidos, en la
pedagogía del éxito y tratando de disminuir todo el tiempo el
nivel de incertidumbre sabiendo que estamos inmersos en un
entorno VICA.


Esto supone cambiar radicalmente

la manera como
entendemos el gobierno de la seguridad de la información,
esto es cambiar la lectura actual del tema arraigada en la
tradición de muchos oficiales de seguridad de la información y
ejecutivos de empresas, que se puede manifestar en las
siguientes declaraciones:

• La seguridad y la complejidad no son compatibles.
• Las fallas de seguridad de la información revelan las

limitaciones de la gestión de la seguridad.

• Los incidentes de seguridad deben ser la excepción de la

operación de un programa de seguridad.

• Los errores en

la
información no son admisibles en ninguna parte de la
empresa.

las prácticas de seguridad de

• La incertidumbre de la operación del negocio es amenaza

para la seguridad de la información.


Las anteriores afirmaciones se traducen en máximas de la
gestión de los ejecutivos de seguridad de la información que
atienden los marcos de trabajo tradicionales en gestión de
riesgos como:

• A menor nivel de vulnerabilidad identificada, mayor

expectativa de seguridad y control.



Figura 1. Características de la gestión y el gobierno (Tomado de: [6])


Por tanto, si queremos movilizar la organización para
gobernar la seguridad de la información, se hace necesario
partir de la debilidad, de la incertidumbre y las fallas como
fundamento de una vista estratégica y táctica de la seguridad
de la información ajustada al entorno VICA, propio de las
organizaciones, donde lo más normal es el error en las
personas, las fallas de seguridad de la información en los
procesos y controles y
inesperados que
comprometen las estrategias más elaboradas de seguridad y
control.

los eventos


Esto supone declarar tres principios básicos de esta nueva
forma de gobierno de la seguridad de la información, que
exigen a los ejecutivos de seguridad de la información, pensar
por el complemento y de forma relacional, y no con una
epistemología positivista (que controla todas las variables en
sus análisis), para potenciar y renovar las prácticas actuales
respecto de los retos de agilidad, movilidad y protección que
demandan las empresas de hoy. Los tres principios son:

• La debilidad es la base de la construcción de la confianza

y no las certezas.

• A mayor nivel de