66 Sistemas

La inseguridad informática[CANO 2004] es la cons-tante en el mundo actual.Las permanentes adver-tencias de fallas, las diferentes alter-nativas de penetración de sistemas yla creciente explotación de vulnera-bilidades técnicas, procedimentalesy humanas, nos alertan sobre la cre-ciente complejidad que exhibe cadauno de los elementos que confor-man o dan sentido a la distinción deseguridad de la información en lasorganizaciones.

En este contexto, las corporacionesmodernas, comprometidas en au-mentar su nivel de seguridad de lainformación deben desarrollar ele-mentos conceptuales y prácticos queles permitan satisfacer las expectati-vas de la gerencia, los objetivos delos programas de seguridad y la con-

fiabilidad de los servicios de seguri-dad de la información.

Por tanto, se abre paso un nuevoconcepto extendido de los temas degobierno corporativo que denomina-mos Gobierno de la InseguridadInformática (GI2). Ver figura 1.

Gobierno de la Inseguridad Informática(Gobierno de la ISI)

El GI2 es el escenario donde se esta-blecen las expectativas de la geren-cia en torno a la administración de la

Las organizaciones decara a la seguridad informáticaJeimy J. Cano, Ph.D, CFE

e d i t o r i a l

Figura No.1 Gobierno de la InseguridadInformática

Full color.qxp 6/22/2006 12:09 PM Page 6

Sistemas 77

seguridad de la información. Paraello, define en sí mismo la arquitec-tura de seguridad informática, la cualconstituye la materialización de lasinquietudes de la gerencia en riesgosde negocio, objetivos de negocio,vulnerabilidades, amenazas, requeri-mientos de seguridad, inversiones deseguridad informática, entre otrosaspectos. Todo ello, como una mane-ra de establecer los niveles de inse-guridad que deberá gobernar a la luzde esta arquitectura.

De cara a lo anterior, es necesariooperacionalizar esta distinción degobierno, manifestada en una arqui-tectura, para lo cual surge el concep-to de administración de la inseguri-dad informática (administración dela ISI). Esta administración, conside-rando los lineamientos de la arqui-tectura, deberá desarrollar los pro-gramas de seguridad informática yla infraestructura de seguridadsoporte de la misma. En este sentido,los directores o encargados de laseguridad informática tienen quevelar por una adecuada operacionali-zación de la arquitectura en la infra-estructura, para procurar la confiabi-lidad de los servicios y generaciónde confianza en los usuarios, ademásde validar y satisfacer las expectati-vas de la gerencia en este tema.

En forma paralela, se tiene en el últi-mo nivel la operación de la inseguri-

dad informática (operación de laISI), como la materialización plenadel uso de los procedimientos, tecno-logías y comportamiento de los indi-viduos en el contexto organizacio-nal. De esta manera, las interaccio-nes entre estos elementos y lainfraestructura ofrecerán elementosde valoración del estado de la inse-guridad reinante en las organizacio-nes.

Nivel de aseguramiento de la información

Si todo este conjunto de distincionesfruto de un gobierno de la inseguri-dad se presentan, es decir se mantie-ne un nivel de satisfacción de las

"… las corporacionesmodernas,

comprometidas enaumentar su nivel de

seguridad de lainformación deben

desarrollarelementos

conceptuales yprácticos que les

permitan satisfacerlas expectativas de

la gerencia".

Full color.qxp 6/22/2006 12:09 PM Page 7

88 Sistemas

expectativas de la alta gerencia, unaadecuada implementación de pro-gramas e infraestructura de seguri-dad y un importante nivel deconfiabilidad en los servicios deseguridad, estaremos abriendo lapuerta a una propiedad emergentepropia de este gobierno, que losexpertos denominan "informationassurance" [BISHOP 2003, IATF] oque podríamos parafrasear comonivel de aseguramiento de la infor-mación.

En la medida en que los elementosanteriormente expuestos se conju-guen y se ordenen para mantener unnivel aceptable de inseguridad en laorganización, podemos decir queesta madura en su gestión de la se-guridad y en este sentido, exhibeuna propiedad fruto de esta interac-ción que llamaremos nivel de asegu-ramiento de la información, el cual

deberá ser evaluado y revisado por eloficial de cumplimiento, quien serála autoridad para establecer los nive-les de gobierno y aseguramiento encada uno de los niveles establecidos:gobierno, administración y opera-ción.

EL GI2 es la respuesta natural de lagerencia del área de seguridad infor-mática, no para decirle a la altagerencia el nivel de seguridad conque se cuenta, sino el nivel de con-fiabilidad y confianza alcanzado enlas funciones de negocio y por endede sus clientes.

Es una estrategia corporativa de pro-tección de los activos, que reconocelas vulnerabilidades inherentes delos elementos de los sistemas de lasempresas, para promover una admi-nistración y operación de la inseguri-dad como sistema preventivo yactivo, frente a las cambiantes reali-dades de la organización, la tecnolo-gía y las personas.

Madurez permanente

Al reconocer el GI2 como esa estra-tegia que destruye la falsa sensaciónde seguridad, las falsas pretensionesde sistemas seguros y la perfectaconjunción entre comportamientoshumanos y operaciones tecnológi-cas, es posible avanzar en mejores

"El GI2 es elescenario donde se

establecen lasexpectativas de la

gerencia en torno ala administración de

la seguridad de lainformación".

Full color.qxp 6/22/2006 12:09 PM Page 8

Sistemas 99

niveles de madurez de la función deseguridad de la información. Sepasaría rápidamente de una concen-tración en aplicaciones o proyectosde infraestructura a fortalecimientode arquitecturas de seguridad de lainformación, no como proyectosconceptuales o estratégicos en símismos, sino como realidades con-

cretas en la operación de la inseguri-dad por parte de todos los participan-tes de la organización.

Visualizar el GI2 como la ruta paracrecer en la relación entre objetivosde negocio, valor agregado y genera-ción de confianza en las diferentesáreas de la organización y sus clien-tes, es comprender que el proceso demadurez exige alinear la confiabili-dad de los servicios de seguridad, losprogramas e infraestructura y lasexpectativas de negocio en un solosentido, aquel que le da forma a laorganización en un contexto globali-zado.

Referencias

CANO, J. (2004) Inseguridad Informá-tica. Un concepto dual en seguridadinformática. Disponible en: http://www.virusprot.com/Art47.htmlBISHOP, M. (2003) Computer Security.Art and Science. Addison Wesley.Information Assurance Technical Framework - IATF - USA. http://www.iatf.net/framework_docs/version-3_1/index.cfm

Jeimy J. Cano, Ph.D, CFE. Es egresado del Programa de Ingeniería y Maestría en Sis-temas y Computación de la Universidad de Los Andes. Cuenta con un doctorado en Filo-sofía de la Administración de Negocios, título otorgado por Newport University enCalifornia, Estados Unidos. Además de una certificación como Examinador Certificado deFraude - en inglés CFE. Es profesor e investigador a nivel nacional y latinoamericano entemas de seguridad informática, computación forense y sistemas de información. Actual-mente, es Presidente de la Asociación Colombiana de Ingenieros de Sistemas (ACIS).

"… comprender queel proceso de

madurez exigealinear la

confiabilidad de losservicios de

seguridad, losprogramas e

infraestructura y lasexpectativas de

negocio en un solosentido".

Full color.qxp 6/22/2006 12:09 PM Page 9