Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información.
| Autor | Guerrero Julio, Marlene Lucila |
Review of relevant standards and literature regarding information systems risk management and controls
Revisão de padrões relevantes e literatura de gestão de riscos e controles em sistemas de informação
INTRODUCCIÓN
Según un estudio realizado por Singh y Brewer (2008) y soportado por diversas fuentes (Norton, 2004; PriceWaterhouseCouper, 2004; Wah, 1998), la gestión y el control de riesgos en sistemas de información no logra aún ganar la importancia necesaria para la gerencia organizacional, lo que se atribuye a dos premisas: en primera instancia, a la falta de comprensión de las cuestiones de riesgos y, en segundo lugar, al hecho de no contar con una cultura corporativa debidamente sensibilizada con los riesgos de su propio negocio.
La primera premisa está asociada con la falta de entendimiento sobre el sentido o propósito de las actividades de la gestión de riesgos y controles en sistemas de información (GRCSI en adelante), dado que si los directivos y los demás actores de las organizaciones no comprenden las razones de las políticas de seguridad de la información y de la gestión de riesgos, no apoyarán plenamente la lógica de la estrategia, haciendo poco probable que participen en su desarrollo o se adhieran a ellas más tarde (Farahmand, Navathe y Enslow, 2003; Hirsch y Ezingeard, 2008; Straub y Welke, 1998).
La segunda premisa, por su parte, está asociada con la ausencia de los procesos de cambio organizacional necesarios para la transformación de la cultura organizacional propicia para el desarrollo de la gestión de riesgos y controles (Cano, 2009). Esta premisa implica incorporar en la cultura organizacional la preocupación por las nociones de riesgo lo que a su vez se debe traducir en la planeación, organización y conducción de procesos orientados a lograr que los actores organizacionales se sientan insatisfechos con el estado actual de sus actuaciones ante la GRCSI. Igualmente, es importante que los actores involucrados se convenzan de la necesidad de cambio y se sientan dispuestos y motivados a enfrentarlo. Estos procesos de cambio organizacional son descritos por Schein (1991) como procesos de invalidación, inducción y motivación.
Ahora bien, estas premisas se acentúan debido a la diversidad de posturas sobre la forma más adecuada de desarrollar las actividades de GRCSI y la confusión que sus descripciones generan en los actores organizacionales. Lo anterior posibilita el desarrollo de investigaciones orientadas a responder ¿cómo podría la organización mejorar su comprensión acerca del sentido o propósito de la GRCSI?
Una aproximación a la respuesta se desarrolla en el presente artículo, abordando el conjunto de estándares de GRCSI reconocidos con el fin de realizar una revisión de los niveles de riesgo y plantear una propuesta para la integración de los roles y las actividades necesarias para llevarlo a cabo.
En la primera sección del documento se presentará una revisión de las actividades asociadas a la GRCSI relacionadas por los estándares relevantes de carácter nacional e internacional. En la segunda sección se elaborará una imagen enriquecida que permitirá plantear una postura propia sobre las actividades para la GRCSI. En la tercera sección se presentará la definición de los niveles de riesgo en los sistemas de información y su identificación en la organización.
En la cuarta sección se plantearán las conclusiones obtenidas a partir de la reflexión, así como recomendaciones sobre futuras investigaciones. Finalmente, en la quinta sección se expresarán algunos agradecimientos.
-
REVISANDO LAS ACTIVIDADES DE GRCSI EN EL MARCO DE LOS ESTÁNDARES
Un programa de gestión de riesgos tiene como principal objetivo llevar los riesgos a un nivel aceptable, en el desarrollo de algunas actividades o funciones (Boehm, 1991; ISACA, 2002; Peltier, 2001) y haciendo uso eficaz de los recursos para mitigarlos y controlarlos (Smith, McKeen y Staples, 2001). En la actualidad se pueden identificar varios estándares que, aunque en su mayoría no tienen como principal objetivo el establecimiento de un modelo de GRCSI, aportan elementos fundamentales al momento de considerar las actividades a desarrollar por una organización.
Un primer grupo integrado por cuatro estándares está dirigido a la seguridad de los sistemas de información. Este grupo se conforma del Operationally Critical Threat, Asset, and Vulnerability Evaluation -- OCTAVE (Alberts, Behrens, Pethia y Wilson, 1999), el Risk Management Guide for Information Technology Systems SP800-30 (Stonebumer, Coguen y Feringa, 2002), la Metodología de Análisis y Gestión de Riesgos de los sistemas de información MAGUERIT Versión 2.0 (1997) y el Managing Risk from Information Systems SP800-39 (Ross, Katzke, Johnson, Swanson y Stoneburner, 2008). En ellos, la GRCSI es tenida en cuenta para garantizar la continuidad de los procesos de negocio que tienen un nivel determinado de dependencia de los sistemas de información y para evaluar y generar salvaguardas de las distintas amenazas a las que se exponen los sistemas de información por su naturaleza o por fuentes externas.
En estos estándares se entiende la seguridad de los sistemas de información como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de la información almacenada o transmitida y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (Baskerville, 1993; Harold y Tipton, 2006; Ministerio de Administraciones Públicas, 1997). Otros estándares revisados no proveen una definición exacta sobre este tema.
Un segundo grupo de cuatro estándares está orientado a los aspectos de seguridad de la información, en donde la GRCSI encaja como elemento destinado a garantizar la disponibilidad, la integridad, la confidencialidad y la confiabilidad de la información. Este grupo lo conforman la norma ISO 27005 (ISO, 2008), el Information Security Maturity Model -- ISM3 (2009), el Open Information Security Risk Management - SOMAP (2006) y el Método Armonizado para la Gestión de Riesgos (Clusif, 2007).
La seguridad de la información es definida como la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento dentro de una organización (ISO, 2005; Whitman y Mattord, 2005). Esta definición es tenida en cuenta por todos los estándares de seguridad de la información revisados.
Complementando los dos grupos de estándares anteriores, en lo relacionado con la GRCSI, se encuentra el Estándar Australiano de Administración de Riesgos AS/NZS 4360 (2004), el cual está orientado a la administración de riesgos organizacionales, ofreciendo una identificación de las oportunidades y amenazas para la adecuada toma de decisiones de acuerdo con cada contexto organizacional.
Ahora bien, si se reconoce a la GRCSI como parte de la seguridad de los sistemas de información y de la seguridad de la información (Blakley, McDermott y Geer, 2001) y estas a su vez como parte del entorno organizacional, es prioritario distinguir cuáles serían los roles asociados a la GRCSI con el fin de determinar las actividades y la respectiva asignación de responsabilidades que las organizaciones deberían implementar (Ashenden, 2008; Ashenden y Ezingeard, 2005). Algunos de los estándares revisados ofrecen una perspectiva sobre los roles supeditados a la GRCSI en las organizaciones (ver Tabla 1), lo cual permitió identificar cuál sería el personal que estaría involucrado o comprometido en la GRCSI.
La especificación de los roles de la GRCSI posibilita abordar las actividades involucradas en este proceso. En este punto, los estándares revisados proveen diferentes posturas sobre cómo llevarlas a cabo. Por ello, se realizó una comparación ubicando para cada estándar el listado de actividades en orden lógico y asociándolas mediante las similitudes y diferencias entre ellas, para finalmente obtener una propuesta de actividades resultado de su agrupación. La Tabla 2 presenta el resultado del ejercicio anteriormente descrito.
Como se puede observar, en algunas casillas en las que se agrupan las actividades aparecen diferentes nombres, esto evidencia que aunque los estándares relacionan actividades con diferente nombre, tienen definiciones o propósitos similares. De igual manera, en el Gráfico 1 aparece una imagen enriquecida que ilustra el resultado de la agrupación de las actividades para la GRCSI, permitiendo apreciar la secuencia e interacción entre ellas.
-
ELABORACIÓN DE UNA IMAGEN ENRIQUECIDA DE LAS ACTIVIDADES PARA LA GRCSI
La GRCSI se encuentra rodeada por un alto componente social, político y humano (Checkland y Holwell, 1998; Checkland y Scholes, 1999a, 2000). Esto conlleva que puedan existir perspectivas diferentes aunque a veces complementarias sobre cómo se deberían llevar a cabo estas actividades en una organización. Es en este punto en el que el pensamiento de sistemas blandos (Checkland y Poulter, 2006; Checkland y Scholes, 1999b) se convierte en una de las metodologías más propicias para este tipo de estudios, en los cuales se debe trabajar con diferentes perspectivas de una misma situación, las que son examinadas y discutidas en torno a un proceso sistémico de aprendizaje (Checkland, 2000) con el fin de definir acciones orientadas a su mejoramiento.
Los riesgos tienen un impacto potencial en el sistema de gestión de la seguridad (Chittister y Haimes, 1993; Fairley, 1994); por lo tanto, la GRCSI es una labor que requiere el esfuerzo y coordinación de los entes de la organización en favor de la protección de los activos del negocio y del cumplimiento de la misión organizacional (McFadzean, Ezineard y Birchall, 2007). No obstante, los modelos proveídos por los diferentes estándares sólo son guías o pautas y cada organización debe velar por reconocer en su naturaleza intrínseca y en su...
Para continuar leyendo
Solicita tu pruebaCOPYRIGHT GALE, Cengage Learning. All rights reserved.
