2. BMIS
El Modelo de Negocios para la
Seguridad de la Información
Este material es una presentación del modelo desarrollado por
ISACA
WWW.ISACA.ORG/BMIS
3. El Modelo de Negocios para la Seguridad de la Información (BMIS)
El BMIS, es un modelo que apoya al negocio en materia de seguridad de la
información a las empresas.
Su perspectiva se enfoca en ver a la empresa sistémicamente permitiendo tener
una visión integrada enfocándose en los negocios con un aporte extraordinario en
la gestión de la seguridad de la información y que ningún marco de control o
estándar proporciona.
El modelo propone ver a la empresa como un conjunto que tiene cuatro elementos
(Organización, Personas, Tecnología y Procesos) y seis interconexiones
dinámicas (Gobierno, Cultura, Arquitectura, Habilitación y Soporte, Factores
Humanos y Emergentes). Cada uno de los elementos se correlación entre si y el
estudio de cada una ellas proporcionan un modelo para el análisis de la
problemática de la seguridad de la información.
El modelo propone un estudio exhaustivo de cada uno de los elementos e
interconexiones desde la perspectiva de seguridad que impactará en agregarle
valor al negocio.
4. El Modelo de Negocios para la Seguridad de la
Información (BMIS)
:
5. Modelos
Un modelo puede ser considerado como una descripción
teórica de la forma en que funciona un sistema.
Los modelos deben ser flexibles para satisfacer las
necesidades del mundo empresarial.
Tienen que ser probado en ocasiones para asegurarse de
que siguen siendo aplicable y ajustarse a la finalidad
prevista,
Debe incorporar cambios en los sistemas y las empresas en
las que existe.
Son descriptivos, pero no normativos
6. Objetivo del BMIS
General
Proveer de seguridad a los activos de información de la
empresa para el logro de los objetivos del negocio a un nivel
aceptable de riesgo.
Específicos
Alineamiento estratégico
Gestión de riesgos
Entrega de Valor
Gestión de recursos
Integración del proceso de Aseguramiento
Medición del Desempeño
7. Estructura del BMIS
Elementos Conexiones Dinámicas
Cultura
Organización Gobierno
Personas Arquitectura
Tecnología Emergentes
Procesos Habilitación y soporte
Factores Humanos
9. Características del BMIS
EL BMIS es ante todo un modelo en tres dimensiones.
Se compone de cuatro elementos y seis interconexiones
dinámicas (DIS).
Como regla general, todas las partes del BMIS
interactúan unos con otros.
Los elementos están conectados entre sí a través de la
DIS.
Si alguna parte del modelo se cambia, otras
partes también se cambiarán
10. Características del BMIS
En un universo de información de seguridad integral y
bien administrada, el modelo se considera que esta en
equilibrio. Si las partes del modelo se cambian, o
si persisten las debilidades de seguridad, el equilibrio del
modelo se distorsiona.
Las Interdependencias entre las partes de BMIS son el
resultado del enfoque sistémico global.
Las DIS pueden verse afectadas directa o
indirectamente por los cambios en cualquiera de
los componentes dentro del modelo, no sólo a los
elementos en cada extremo.
12. Elemento ORGANIZACION
Objetivos
Ofrecer una visión de cómo el diseño de la empresa y la estrategia
afecta a las personas, procesos y tecnologías, dando lugar a riesgos
adicionales, oportunidades y áreas de mejora.
Establecer un vínculo claro entre las medidas de
seguridad tradicionales y la empresa, incluyendo su influencia en
términos de diseño y estrategia. Esto puede ser mapeado para los
fundamentos de la seguridad de confidencialidad, disponibilidad e
integridad.
Ofrecer una visión de negocios sobre los riesgos intrínsecos y
culturales de cualquier diseño de la organización y si estos
riesgos afectan la visión del impacto en la seguridad.
Lograr ver a la empresa en su conjunto en lugar de verlo como un
enfoque de elementos aislados como tradicionalmente se ha
observado
13. Elemento ORGANIZACION
ORGANIZACIÓN FORMAL
La organización formal es la estructura creada por la
dirección de la empresa e incluye los
organigramas formales, políticas y procedimientos
documentados y directrices provistos por los
encargados. Se complementa con la estrategia
establecida por la alta dirección.
ORGANIZACIÓN INFORMAL
Subculturas individuales por las acciones de los
empleados, estas subculturas se forman en grupos que
existen en las unidades de negocio individuales
15. Elemento PROCESOS
Los procesos son creados para ayudar a las
organizaciones a lograr su estrategia en el BMIS
Es único y ofrece un enlace vital para todos los de DIS del
modelo
Representan las actividades estructuradas que se
crean para lograr un resultado en particular a través
de persona o de una serie de tareas aplicadas
consistentemente
Un proceso se considera maduro cuando está bien
definido, gestionado, medible, y optimizado.
16. Elemento PROCESOS
Factores Clave
La retroalimentación representa el compartir
observaciones, preocupaciones y sugerencias, entre las
personas dentro de la empresa con el fin de mejorar
tanto la organización y el desempeño personal.
Retardo (Delay) representa el período de tiempo durante
el cual el proceso está en funcionamiento cuando la
retroalimentación que se recibe y se integran en el
proceso por lo que tiene consecuencias para el modelo.
•El retardo crea un riesgo en el modelo desde la
perspectiva de seguridad, ya que representa una
vulnerabilidad para la empresa.
18. Elemento TECNOLOGIA
"la aplicación práctica del
conocimiento, especialmente en un área en particular“ y
"una capacidad dada por la aplicación la práctica del
conocimiento"
Para efectos del BMIS:
La tecnología incluye todas las aplicaciones técnicas
del conocimiento utilizado en la organización
19. Elemento TECNOLOGIA
La tecnología ofrece las herramientas necesarias para
llevar a cabo la misión y la estrategia de la empresa como
un todo, incluyendo los parámetros generales de
seguridad de la confidencialidad, integridad y
disponibilidad
La tecnología, para efectos del BMIS, tiene 2
componentes
•Los objetos que representan cualquier tipo de
tecnología
•La capacidad de aplicación dentro de la empresa lo
que implica que las empresas podrían tener mucha o
poca dependencia de la tecnología
21. Elemento PERSONAS
Representa los recursos humanos en una organización
Para efectos del BMIS
Personal primario representa a empleados o asociados
con la organización
Personal secundario, se da en eventuales
subcontrataciones como en el caso de los proveedores de
servicios administrados o soluciones tecnológicas
22. Elemento PERSONAS
Las personas dentro de una organización tienen sus
propias creencias, valores y comportamientos que surgen
de sus personalidades y experiencias.
"Las personas” no son sólo unidades de uno y no pueden
ser estudiados de manera independiente.
Para entender cómo afecta la seguridad de la
información, y se ve afectada por la gente, un enfoque
sistémico es necesario, el estudio de la interacción de las
personas con el resto de los elementos del modelo a
través de la DIS.
25. DIS - Aspectos Relevantes de las DIS
Cualquier DIs entre dos elementos es flexible y también
representa la tensión potencial entre los elementos.
Las interconexiones son una señal de que BMIS no es
estático, que representa las partes dinámicas de la
modelo en el que ocurren las acciones y donde los
cambios, a su vez, lo influencian los elementos.
26. DIS - Aspectos Relevantes de las DIS
Los DIS en BMIS también interactúan entre sí en un
sentido sistémico. En algunas situaciones, el
comportamiento de todo el sistema crea bucles de
realimentación o lazos. Estos lazos dinámicamente
cambian el sistema y poco a poco se mueve a un nuevo
estado
.
Donde existen tensiones que distorsionan el modelo, los
cambios se presentarán por primera vez en un DIS y
luego en los elementos correspondientes. Esto, a su
vez, puede influir en otros DIS y elementos, dando lugar
a un bucle que se refuerza a sí mismo y se mueve el
modelo en su conjunto.
28. DIS - GOBIERNO
La DIS de Gobierno traduce los conceptos de gobierno y
las medidas que se deben seguir para cumplir con la
misión y objetivos, y establecer límites y controles a nivel
de procesos.
El Gobierno es la conexión entre los elementos de
organización y procesos,
La DIS gobierno representa la acción de poner en práctica
la gobernabilidad dentro de BMIS. Esto implica que la
gestión de los procesos es fijada por el gobierno.
La retroalimentación es la responsable de modificar el DIs
Gobierno por medio del DIs de Cultura y Arquitectura, que
involucra el diseño y la estrategia empresarial
29. DIS – GOBIERNO - Acciones
Las acciones del Gobierno tiene la finalidad de mantener
en equilibrio el BMIS
•Estrategia de la organización en el diseño
organizacional. Cualquier actividad que no cumpla con
estos criterios será contraproducente y
creará excesivas "tensiones" que deben ser resueltas a
través de cambios en el diseño y la estrategia o en el IDs
Gobierno.
Limitar los riesgos a niveles aceptables, si los riesgos no
son correctamente gestionados reduce la capacidad de
adaptación de la organización y la resistencia para hacer
frente a situaciones emergentes. y por medio de los
canales apropiados.
30. DIS – GOBIERNO - Acciones
Las herramientas principales para el gobierno son los
estándares y guías que demuestren que cumplen la
intención de la política.
Políticas
Estándares y directrices y otra documentación
normativa
Reglas de responsabilidad (Accountability)
Asignación de recursos y priorización
Métricas (de todo lo anterior)
Cumplimiento (como un tema Global)
La comunicación es vital dentro del DIS de Gobierno.
32. DIS – CULTURA
La Cultura es uno de los DIS más influentes del BMIS de
los modelos de seguridad.
La cultura y su impacto sobre el BMIS nos provee de la
más completa imagen de la empresa
El impacto de la cultura en las personas es un tema clave
en la seguridad de la información desde que las personas
sean capaces de contribuir a la seguridad de la
información o, por el contrario, se comprometan con esto.
33. DIS – CULTURA
Para el BMIS la cultura es “un patrón de
comportamientos, creencias, presunciones, actitudes y formas
de hacer las cosas".
Está compuesta por
•la cultura organizacional que se forma a través del tiempo
por la estrategia, diseño organizativo y comportamiento de
las personas en el trabajo, y
•Por la cultura de las personas individuales, que pueden ser
diversas y heterogéneas.
Para mejorar el programa de seguridad de la información
examinar y entender la cultura que existe dentro de la empresa.
34. DIS – CULTURA
La Gestión sistémica de la seguridad investiga los siguientes
aspectos:
Las reglas y normas
La tolerancia a la ambigüedad
Fuente de distancia
El factor de cortesía
Contexto
Colectividad vs. Individualidad
La asunción de riesgos vr. aversión al riesgo
El elemento cultura bien gestionado implica una buena
Seguridad de la Información, a través de estrategias bien
establecidas y bien comunicadas y metas necesariamente
apoya a las organizaciones a crecer desde la perspectiva del
"yo" al "nosotros“
35. DIS – CULTURA
Una “buena” cultura impacta en que, independientemente
de las políticas de seguridad y procedimientos
formales, las personas desarrollarían una perspectiva
correcta a la protección de la información
36. DIS – CULTURA – Aspectos a mejorar
Trabajar para establecer un programa de seguridad de la
información sólido incluyendo a los líderes de la empresa
Fomentar la colaboración entre las unidades de negocio, reduciendo
así la gestión de silos.
Trabajar para que las responsabilidades de seguridad se incluyan
en las descripciones de puestos
Proporcionar los conocimientos, herramientas y habilidades que las
personas necesitan para manejar eficazmente los activos
de información.
Desarrollar procesos sistemáticos de manejo de la información
Trabajar para cambiar las percepciones negativas de seguridad.
Comunicar, comunicar, comunicar.
38. DIS – ARQUITECTURA
.
ISO / IEC 42010:2007 define la arquitectura
como:
“La organización fundamental de un
sistema, encarnada en sus
componentes, sus relaciones entre sí y el
medio ambiente y los principios que
rigen su diseño y evolución”
39. DIS – ARQUITECTURA
Pasos para definir la Arquitectura
1.- La arquitectura comienza como un concepto, un
conjunto de objetivos de diseño que se deben cumplir
2.- Se convierte en un modelo, o sea, una visión a partir
de los servicios.
3.- Preparación de planos detallados, herramientas que se
utilizan para transformar la visión / modelo en un producto
real y el acabado.
4.- La realización o la salida de las etapas anteriores.
.
41. DIS – ARQUITECTURA – Aspectos Relevantes
Espacio para la evolución y el mejoramiento
Espacio para la reacción para cambiar el contexto
Apta para su propósito
Efectividad y eficiencia
Consistencia con las políticas y estándares
Mantenimiento y facilidad de uso
43. DIS – HABILITACION Y SOPORTE
En términos de BMIS, Habilitación y Soporte a través
de la que la tecnología permite un proceso, y el
proceso a su vez, soporta la entrega y la operación
de la tecnología
El DIS habilitación y soporte muestra un
proceso equilibrado para apoyar a la empresa con la
tecnología, y muestra el efecto que la tecnología ha
tenido en los procesos de negocio
44. DIS – HABILITACION Y SOPORTE
Una habilitación y soporte debe tener en cuenta:
Procesos equilibrados y un ajuste rápido a un nuevo
estado de equilibrio
La adherencia a los estándares apropiados
El uso de controles apropiados
Un fuerte enfoque en la seguridad
El reconocimiento de los requisitos de cumplimiento
45. DIS – HABILITACION Y SOPORTE
La tecnología debe ser
seleccionada, evaluada, implementada y controlada.
Los procesos deben ser diseñados,
desarrollados, implementados y utilizados.
Para el BMIS habilitación y soporte tiene la
misión de que el proceso permita la
tecnología y la tecnología soporte el proceso
de negocio.
47. DIS – HABILITACION Y SOPORTE
Si la solución tecnológica no está clara o esta
insuficientemente definida, la solución del
negocio es revisada para asegurar la alineación.
Si la solución de negocio no es clara o plantea
preguntas, puede ser necesario volver a los requisitos de
servicio originales formulados o incluso a los requerimientos
del negocio global.
Esto no es una secuencia paso a paso como sería de forma
lineal, es sistémica en la que el paso siguiente no siempre es
"completado", pero todas los pasos interactúan en el ciclo
general y puede cambiar las soluciones de tecnología y su
entrega.
48. DIS – HABILITACION Y SOPORTE
Los componentes clave del DIS habilitación y soporte y el DIS de
arquitectura son:
•Los Objetivos de Negocio de alto Nivel:
La tecnología de la información es un habilitador de negocios, ya
que ayuda a reducir los costos operativos, mejora la productividad
y genera crecimiento.
•Requerimientos detallados del negocio:
Los requerimientos del negocio deben ser recogidos sin hacer
referencia a la tecnología. Recopilación de los requerimientos del
negocio es una actividad crítica, incluso si el enfoque del proyecto es
una actualización de tecnología o de actualización.
•La arquitectura de la empresa y los marcos de los procesos
•Los planes y objetivos de la tecnología deben alinearse con los planes
y metas de la organización.
50. DIS – EMERGENTES
En el BMIS, el emergente puede ser visto
como el surgimiento de nuevas
oportunidades de negocio, nuevos
comportamientos, nuevos procesos y otros
elementos relevantes para la
seguridad, como los subsistemas entre las
personas y los procesos de evolución.
51. DIS – EMERGENTES
Un proceso en sí mismo puede estar bien definido, pero
su resultado puede ser diferente cada vez que se ejecuta. El
impacto de este hecho en la seguridad de la información, la
ejecución de un proceso por las personas se divide en las
siguientes categorías:
Procedimiento Escrito; la ejecución de tareas basadas
en el flujo específico de las acciones definidas en un
procedimiento oficial.
Políticas: La ejecución de tareas basadas en la
traducción de las reglas de la empresa a políticas de
seguridad
Ad-hoc: Lla ejecución de tareas de forma aleatoria, no están
cubiertas por un procedimiento o una política
52. DIS – EMERGENTES
El DIS Emergente, es como un proceso de
aprendizaje, que es fundamental para la seguridad de la
información, ya que ayuda al entendimiento de los
requerimientos para compartiendo efectivamente las
estrategias de seguridad y se ajustan al comportamiento
de la empresa como un todo.
Ayuda en la personalización, mejora y ampliación de los
procedimientos y normas de seguridad llevando la
información de la teoría a la práctica.
53. DIS – EMERGENTES
El DIS Emergente puede ser clasificado como positivo
o negativo.
DIS Emergente positivo está relacionado con el
proceso de aprendizaje para la comprensión de la
seguridad necesidades y mejorar la seguridad de la
información.
DIS Emergente negativo está relacionado con el
fenómeno creciente de la seguridad sin explicación de
incidentes y la falta de alineación entre la seguridad de
la información y los objetivos de negocio
55. DIS – FACTORES HUMANOS
Se refiere como la interacción persona-
computador (HCI), la interfaz hombre-máquina y
la ergonomía por lo que gran parte del
trabajo en la facilidad de uso y facilidad de uso
Ergonomía: “ciencia aplicada que trata del diseño de los
lugares de trabajo, herramientas y tareas que coinciden
con las características fisiológicas, anatómicas y
psicológicas y las capacidades del trabajador”
56. DIS – FACTORES HUMANOS
Conecta los elementos de las Personas y la Tecnología
y cubre muchas áreas, tales como:
Ciencia de la comprensión de las propiedades de
la capacidad humana, la ergonomía y los límites de
las capacidades humanas
La aplicación de este conocimiento para el
diseño, desarrollo y entrega de tecnologías y
servicios
Asegurar exitosamente la aplicación de
la ingeniería de factores humanos a un programa
57. DIS – FACTORES HUMANOS
Los objetivos principales se relacionan con :
El operador humano (cuerpo y mente) y
Los sistemas circundantes que interactúan con
el usuario humano.
Para entender y manejar la tensión en este DI, el primer
paso es diagnosticar o identificar los problemas y
deficiencias en la interacción hombre-sistema de un
sistema de seguridad existente.
58. DIS – FACTORES HUMANOS
Enfoque para mejoras
Equipo de diseño: Cambia la naturaleza de los equipos físicos con
los que los seres humanos trabajan
Diseño de Tareas: Se enfoca más en el cambio de lo que los
operadores hacer que en el cambio de los dispositivos que utilizan.
Diseño ambiental: Implementa los cambios como una mejor
iluminación, control de temperatura, etc.
Capacitación Individual: Prepara mejor a los empleados para los
desafíos que encontrarán en el entorno de trabajo
Selección de los individuos: Es una técnica que reconoce las
diferencias individuales entre los seres humanos en todas sus
dimensiones física y mental que es relevante para un buen
rendimiento del sistema.
59. DIS – FACTORES HUMANOS
Factores claves del éxito
•La falta de entender no sólo los requerimientos de seguridad, pero
si la razón para ellos
•No apreciar los conceptos de riesgo del negocio y el posible
impacto de las debilidades de seguridad
•La falta de conciencia e implementación, de la disponibilidad del
sistema de controles, ya que esto soporta la seguridad de la
información
•El error humano en forma de falta de memoria o una simple falta
de atención a los detalles
•Factores humanos externos, tales como el soborno, la corrupción
y problemas sociales, que pueden influir en el nivel
de concienciación sobre la seguridad y el cumplimiento de los
controles
62. Los objetivos por los cuales es importante
poner en práctica el modelo de negocio para
la seguridad de la información son los
siguientes:
Integrar totalmente el programa de seguridad
existente.
Analizar e interiorizar las medidas de
seguridad detalladas y sus soluciones
Alinear los estándares, regulaciones y marcos al
BMIS.
Identificar claramente las fortalezas y debilidades de
la seguridad existentes.
Utilice el sistema de seguridad dinámico
que presenta BMIS.
Gestionar los emergentes dentro de la
organización para maximizar las mejoras de
seguridad.
Presentación BMIS - rodocarrion@gmail.com
63. Pasos:
Como primer paso, la empresa debe ser
analizada en términos de ubicación
geográfica, relaciones con clientes
y proveedores y la cadena de suministro en
general
Una vez que los respectivos países, regiones
y otros factores de negocio diferentes han sido
identificados, las leyes y reglamentos
aplicables se pueden asignar a los programas
de seguridad, y más tarde al BMIS.
Presentación BMIS - rodocarrion@gmail.com
64. Desde la perspectiva del BMIS, es la propia
empresa que acepta adopta reglas externas y
los hace parte de la estrategia de la
organización. La gestión de la seguridad debe
direccionar:
Reglas de gobierno o de las directrices adoptadas
por la empresa
Partes relevantes de TI y de la
seguridad, pertinentes de estas reglas o directrices
Mapeo de los elementos de gobierno relevantes
para la seguridad en el marco COBIT
E implementarlo en los niveles inferiores a
través del DI Gobierno.
Presentación BMIS - rodocarrion@gmail.com
65. Cuando se utiliza el BMIS, los Gerentes de
seguridad deben poco a recopilar toda la
información sobre las soluciones resultantes de
funcionamiento, herramientas y procesos.
Esta lista no tiene que ser exhaustiva, ya que la
naturaleza dinámica de BMIS permite cambios
posteriores y adiciones.
Las soluciones existentes, una vez
integradas, finalmente formaran un patrón que
se refleja en los elementos y en los IDs.
Se identificaran fortalezas y debilidades, se
diseña un enfoque pragmático para identificar y
cerrar las brechas de seguridad que son visibles
después de complementar el BMIS.
Presentación BMIS - rodocarrion@gmail.com
66. Las tablas son una herramienta importante
para luego asignar responsabilidad para
las tareas y acciones que se derivan del
resultado del BMIS.
Presentación BMIS - rodocarrion@gmail.com
67. BMIS direcciona las necesidades del negocio y los
requerimientos de forma directa, sobre la base de las
disposiciones estratégicas y tácticas. Desde la perspectiva
del BMIS, todas las relaciones con terceros y todos los
productos gestionados o servicios deben estar basados en
los resultados.
Existe una dimensión adicional (contrato y los controles
relacionados). El BMIS ha sido diseñado para tener
la flexibilidad intrínseca para adaptarse a la mayoría de las
normas actualmente en uso en la seguridad de la
información.
Presentación BMIS - rodocarrion@gmail.com
68. El siguiente paso en el uso del BMIS es un análisis
exhaustivo de las fortalezas y debilidades. El uso de BMIS
permite la gestión para identificar las causas y efectos.
Cualquier elemento o DIs es un buen punto de
partida. Para cada elemento, el modelo debe contener la
información mínima agregada anteriormente:
Las políticas, métodos y controles
Las soluciones detalladas, herramientas y procedimientos
Las partes relevantes de los estándares de seguridad de la
información
Las partes relevantes de los estándares generales de TI
Presentación BMIS - rodocarrion@gmail.com
69. El modelo circular permite una visión clara de
cómo la dinámica del sistema lleva a cabo las
actividades, comportamientos y patrones que se
vuelven más integrados con el
tiempo, particularmente en términos del nivel de
seguridad global de la empresa.
Presentación BMIS - rodocarrion@gmail.com
70. Conclusiones
El BMIS proporciona un modelo para cambiar del
modo reactivo tradicional de tratar a la seguridad de
la información a un modo proactivo, apoyando y
generando valor para la organización con el fin del
cumplimiento de los objetivos.
La importancia de la Seguridad de la
Información, así como su aporte al negocio es un
factor que no ha sido tomado en cuenta por las
empresas y que es crítico para el logro de los
objetivos, a veces se puede pensar en que basta
con una serie de tecnologías, sin embargo el BMIS
muestra que este concepto va mucho mas allá de la
simple implementación de soluciones tecnológicas.
Presentación BMIS - rodocarrion@gmail.com