2. El Problema

Los sistemas de información, según Vacca (2010), son una valiosa herramienta que facilitan los procesos operativos, administrativos y gerenciales de toda organización, mediante el tratamiento de datos que son convertidos en información. Sin embargo, existen numerosos riesgos a los que están expuestos, tales como: Interrupción, modificación y exposición de datos confidenciales. La gestión de la ingeniería de la seguridad de la información, continúa Vacca (ibid.), es el proceso multidisciplinario mediante el cual se reducen los niveles de riesgos a un nivel mínimo aceptable. De esta manera la gestión de la ingeniería de la seguridad nace como una amalgama de múltiples disciplinas, provenientes de las diversas áreas de la administración y la ingeniería, que se aglutinan en torno la seguridad de los sistemas de información con el objetivo de garantizar la fiabilidad de los mismos.

Para la gestión de la ingeniería de la seguridad de la información, es crucial mantener una clara perspectiva de todas las áreas de negocios que requieren protección, esto se logra gracias a la colaboración de todas las unidades y procesos que se desarrollan en la organización. Según Vacca (ibid.), la seguridad no es un problema de Tecnología de Información (TI), sino un problema empresarial, gerencial, donde la seguridad de la información significa proteger los sistemas. El enunciado anterior concuerda perfectamente con lo expresado por Llorens (2009), donde establece que la informática y todo lo que envuelve dista de ser un asunto técnico, es más bien un problema de gestión. Siendo la seguridad de la información un problema gerencial, entonces requiere de la confluencia de todos los esfuerzos de la organización para dar efectiva solución en base a sus propias estrategias, más allá de los controles técnicos que se puedan implementar para mitigar cualquier tipo de ataque. Ello implica acompasar recursos humanos, tecnológicos, políticas y operaciones en pro del logro de los objetivos de seguridad, como lo señala Vacca (2010).


Manifestaciones del problema.

Según Information Systems Audit and Control Association ISACA (2012-a), el proceso de toma de decisiones para la elaboración de planes de seguridad de las organizaciones, debe responder las siguientes preguntas: (1) ¿Cuántos recursos son necesarios para estar "seguro"?; (2) ¿Cómo puede justificarse el coste de nuevas medidas de seguridad?; (3) ¿Recibe la organización algo a cambio de su inversión?; (4) ¿Cuándo sabe la organización que está "segura"?; (5) ¿Cómo puede comparar la organización su estado con otras del sector y con los estándares de buenas prácticas?. La respuesta a tales preguntas, continúa ISACA (ibid.), están relacionadas con la evaluación del riesgo y el riesgo residual que la organización está dispuesta a asumir en relación a sus necesidades de negocio y limitaciones de presupuesto. Se entiende por riesgo la medida cuantitativa asignada a un incidente, en relación al impacto que tenga la ocurrencia de ésta sobre la organización y su probabilidad de ocurrencia, según Aceituno (2007). La mitigación del riesgo por su parte, es definida por Vacca (2010), como las medidas que se toman para minimizar las consecuencias de los ataques e intrusiones. Finalmente el riesgo residual, según Wheeler (2011), es el valor del riesgo neto después de la mitigación.

Por regla general, según ISACA (2012-a), un análisis de riesgos contiene un conjunto o matriz de amenazas, junto a los costos asociados para mitigar tales riesgos, insignificantes para unos, muy caros para otros. La gerencia de una organización, en base a la máxima de administrar los recursos con criterios de escases, pudiese estar tentada a mitigar el mayor número de riesgos por la menor cantidad de dinero, dejando de lado aquellos elementos más costosos. Así en la mayoría de los casos se presenta una tendencia a comprar grandes cantidades de herramientas tecnológicas de seguridad y evitar los controles más costosos y menos llamativos, de esta manera la organización concluye erróneamente que está comprando más seguridad por menos dinero. No obstante, los controles más costosos son los de naturaleza organizativa, que conllevan a cambios culturales; como por ejemplo planes para recuperación de desastres; más que soluciones llave en mano como los cortafuegos o sistemas de detección de intrusos.

Otro de los criterios utilizados para evitar desarrollar planes de seguridad, basados en una adecuada gestión, proviene del mismo campo del conocimiento. Morín (1990) expresa que el conocimiento científico en su afán por simplificar ideas, conceptos y sistemas, con el objeto de disipar la aparente complejidad de los fenómenos y develar el orden simple al que obedece, llegan a mutilar más de lo que expresan aquellas realidades o fenómenos que intenta explicar, es decir, en el intento de simplificar ideas y conceptos se dejan de lado muchos aspectos que resultan vitales. En este sentido y aplicado al ámbito de la seguridad, se tiene la propensión de excluir factores como la gestión en favor de implementaciones tecnológicas, tal como lo expresó anteriormente Vacca (2010).

La problemática descrita es muy común, debido a ello la gestión de la ingeniería de la seguridad de la información queda relegada, marginada de los planes de las organizaciones, es decir, el riesgo residual que deciden afrontar las organizaciones es precisamente aquella que sirve de motor a la gestión de procesos de seguridad eficientes. En relación a esto, Vacca (ibid.), expresa que la seguridad de la información es un problema que atañe a toda la organización y debe resolverse con estrategias propias, más allá de los controles técnicos que mitiguen un tipo de ataque. Así surge un nuevo paradigma de la seguridad basada en el riesgo, opuesta al antiguo paradigma de la seguridad lograda mediante soluciones de infraestructura técnicas, la cual no provee de la adecuada protección de los sistemas de información a ninguna organización, haciendo que se tenga un falso sentido de seguridad.


Evidencias del problema.

Para Alexander (2007), más del 80% de los valores intelectuales de una organización son de carácter electrónico, los escenarios de amenazas pueden presentarse inesperadamente, colapsando los procesos automatizados de la organización. Según Wheeler (2011), los problemas de seguridad inciden en los aspectos financieros, legales, regulatorios y de reputación de la organización afectada. Los daños económicos y legales incluyen impacto monetario o pérdidas para el negocio, multas, robo directo de fondos, indemnizaciones pagadas a las partes perjudicadas, honorarios de abogados, incluso la pérdida de productividad durante la investigación de incidentes, puede incluir prisión u otras sanciones penales. La consecuencia de la pérdida de la reputación de la organización puede ser menos tangible que las sanciones económicas y legales, sin embargo, el daño en la percepción de la organización por clientes y usuarios puede llegar a ser irreparable, la confianza en la organización disminuye. Todas estas categorías desembocan finalmente en un impacto financiero negativo para la organización.

Por los motivos anteriormente expuesto resulta primordial formular un modelo de madurez para la gestión de la seguridad de la información, con el objeto de contar con una herramienta que permita medir el grado de calidad de los procesos, así como el nivel de madurez alcanzado, esta información no sólo sería útil a la propia organización, sino también a aquellas que por razones de trabajo deben interconectar sus redes de datos y deseen conocer los posibles riesgos a los que estarán expuestas.


Referencias Bibliográficas

• Vacca, J. (2010).  Managing Information Security. USA. Elsevier.
• Llorens F., J. (2009). Tecnología de Información: Gerencia de Servicios (basado en ITIL). Caracas. Universidad Católica Andrés Bello.
• ISACA. (2012-a). How Can Security Be Measured. Recuperado en Octubre 28, 2012 de http://www.isaca.org/Journal/Past-Issues/2005/Volume-2/Documents/jpdf052-how-can-security.pdf.
• Morín, E. (1990). Introducción al Pensamiento Complejo. España. Gedisa Editorial.
• Alexander, A. (2007). Diseño de un Sistema de Seguridad de la Información. Bogotá. Alfaomega Colombiana S.A.
• Wheeler, E. (2011). Security Risk Management Building an Information Security Risk Management Program from the Ground Up. EEUU. Elsevier Inc.