Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Seguridad a la primera

ISACA celebró su 40 aniversario en enero al presentar su nueva oferta de productos, el Modelo de negocio para la seguridad de la información. Cariñosamente conocido como BMIS, o Bismo para sus desarrolladores, este modelo se enfoca en ayudar a los gerentes de seguridad de la información a operar de manera más efectiva dentro de sus empresas y aborda muchos de los problemas que afectan los resultados de los esfuerzos de seguridad.

El modelo de negocio para la seguridad de la información evita el enfoque tradicional de pensamiento lineal en favor del «pensamiento de sistemas» y presenta una solución holística y dinámica para gestionar la seguridad de la información. Como alternativa a la aplicación de controles a los síntomas de seguridad aparentes en un patrón de causa y efecto, BMIS examina todo el sistema empresarial, lo que permite a la administración abordar las verdaderas fuentes de los problemas mientras maximiza los elementos que pueden beneficiar más a la empresa.

Las organizaciones revelan su carácter en la forma en que resuelven sus problemas. El acto de resolver problemas está ligado a la forma de pensar de las personas y a la cultura de la organización.

Aunque este modelo sobresale en la resolución de problemas, puede hacer mucho más que eso. Sin embargo, la resolución de problemas tiende a ser una lucha para muchas organizaciones y BMIS puede ser de gran ayuda.

Abraham Maslow dijo la famosa frase: «Cuando la única herramienta que tienes es un martillo, cada problema comienza a parecerse a un clavo». La mayoría de las organizaciones aplican el mismo enfoque para la resolución de problemas, independientemente de la naturaleza del problema: un poco de autoprotección mezclada con algunas excusas y mucho «no podemos».

Muchas veces, a la gerencia no le gusta escuchar los problemas, solo las soluciones. Al portador de malas noticias no se le brinda ninguna oportunidad de diálogo o discusión. No es atípico que una organización solucione un problema y se olvide de él. Cuando el problema se repite, se vuelve a solucionar, generalmente de la misma manera que la última vez. Esto da como resultado problemas recurrentes que podrían agravarse y convertirse en problemas sistémicos, como la mala moral y la implementación de tecnología, así como la falta de cumplimiento de las políticas, lo que lleva a fugas de datos y violaciones de seguridad.

Perspectiva del pensamiento sistémico

Las organizaciones revelan su carácter en la forma en que resuelven sus problemas. El acto de resolver problemas está ligado a la forma de pensar de las personas y a la cultura de la organización. ¿La gente habla de los problemas abiertamente? ¿O es siempre a puerta cerrada?

CONTENIDO RELACIONADO  Compare los servicios de administración de datos de AWS con Google, Microsoft

BMIS ve la resolución de problemas desde una perspectiva de pensamiento sistémico. Asegura que las organizaciones primero identifiquen todos los componentes de las partes interesadas y obtengan una visión amplia y sistémica del problema, lo que puede implicar una mirada más profunda a los procesos organizativos y las soluciones técnicas.

El pensamiento sistémico se define por la Guía de campo para consultoría y desarrollo organizacional, como una «forma de ayudar a una persona a ver los sistemas desde una perspectiva amplia que incluye ver estructuras, patrones y ciclos generales en los sistemas, en lugar de ver solo eventos específicos en el sistema. Esta vista amplia puede ayudarlos a identificar rápidamente las causas reales de problemas en las organizaciones y saber exactamente dónde trabajar para abordarlos «.

En este enfoque, claramente uno debe definir primero lo que se entiende por sistema. El cuerpo humano puede verse como un sistema. Cada una de las partes del cuerpo tiene una funcionalidad, sin embargo, en conjunto, crean el «sistema humano», que se comporta de una manera única. En el mundo real, la gente suele centrarse en las «partes del cuerpo» en lugar de en todo el sistema.

El concepto de pensamiento sistémico fue utilizado en 2005 por los investigadores de la Universidad del Sur de California, Dr. Laree Kiely y Terry Benzel para desarrollar un marco de gestión de seguridad sistémica bajo los auspicios del Instituto para la Protección de la Infraestructura de Información Crítica, con una subvención del gobierno de EE. UU. La aplicación del pensamiento sistémico a la gestión de la seguridad fue bastante innovadora y atractiva, ya que permitió a las personas ver la seguridad no como su propia isla, sino como una parte más importante de toda la organización.

El marco resultante, también conocido como SSM, es un enfoque de gestión de la seguridad que sirve a la empresa extendida, yendo mucho más allá de los límites de la empresa para incluir no solo personas, procesos, tecnología y organización, sino también socios, proveedores, clientes y comunidades. . Busca involucrar a la alta dirección y se asegura de que la organización no solo compre seguridad, sino que «compre» seguridad. La seguridad en este marco se basa en un conjunto de principios básicos con la intención de garantizar un equilibrio óptimo entre el mantenimiento de las protecciones, el intercambio de información y el desarrollo de la innovación.

SSM es la base sobre la que se ha desarrollado BMIS, conservando el concepto de pensamiento sistémico. Si bien SSM estaba destinado a ser un marco con los conceptos principales definidos pero no obligatorios, BMIS es un modelo con una estructura bien definida y una guía de usabilidad.

CONTENIDO RELACIONADO  Procedimientos de licencias de software para entornos de servidores virtuales

Modelos de sistemas frente a marcos

Es importante comprender la diferencia entre un modelo y un marco. Un marco tiende a basarse en conceptos variables que una organización debe definir con más detalle. Un modelo proporciona la estructura y define las interrelaciones entre las variables. Las organizaciones utilizan con frecuencia modelos para simular situaciones y soluciones del mundo real.

El modelo de negocio, ya que utiliza el enfoque de pensamiento sistémico, ayuda a las organizaciones identificando y enfocándose en todos de los factores que pueden contribuir al problema. También ayuda en el desarrollo de planes de acción que no solo resuelven el problema, sino que también establecen una hoja de ruta para implementar proactivamente un programa de gestión de seguridad eficaz. También es predictivo, ya que puede aceptar datos de la organización existente para proporcionar una vista del sistema futuro.

BMIS ve el sistema como una interrelación de organización, personas, procesos y tecnología. Estos se conocen como los «elementos». Estas interrelaciones definen prácticamente todas las áreas de preocupaciones de seguridad e incluyen arquitectura, gobierno, habilitación y soporte, cultura, emergencia y factores humanos, y se conocen como «interconexiones dinámicas». Cada elemento y cada interconexión dinámica tiene una definición. Por ejemplo, la interconexión de gobierno proporciona una forma de apoyar el gobierno corporativo al examinar los procesos organizacionales dentro del contexto de gobierno del sistema organizacional.

Los elementos y las interconexiones dinámicas que forman la base del modelo establecen los límites de un programa de seguridad de la información y modelan cómo el programa funciona y reacciona al cambio interno y externo. El BMIS proporciona el contexto en el que se unen marcos como COBIT y los estándares de seguridad de la información. Al hacerlo, forman un enfoque holístico y dinámico de la seguridad de la información que es predictivo y proactivo, ya que se adapta a los cambios, considera la cultura organizacional y brinda valor al negocio.

BMIS ayuda estableciendo y examinando las interrelaciones dinámicas y conduciendo a la solución correcta mediante el diagnóstico correcto. La mayoría de las veces, la comprensión de la alta dirección de los problemas de seguridad es seriamente deficiente debido a la falta de comunicación interna y alineación de objetivos. Los gerentes senior pueden ver a los gerentes de seguridad de la información como algo que propaga el miedo y la incertidumbre al resaltar las amenazas potenciales. Esto resulta en una falta de compromiso con las iniciativas de seguridad de la información. También hay una falta de planificación de la seguridad antes de implementar nuevas tecnologías, ya que las organizaciones tienden a trabajar en silos y no se comunican entre departamentos. Más importante aún, existe una falta de alineación entre los objetivos comerciales y los objetivos de seguridad de la información, ya que los gerentes de seguridad de la información rara vez son invitados a las reuniones de altos directivos.

CONTENIDO RELACIONADO  La realidad golpea cuando las empresas implementan Kubernetes en producción

Al ayudar a crear soluciones equilibradas que pueden implicar una mejor comunicación y cambios culturales, BMIS mejora la capacidad de una organización para relacionar factores de influencia críticos y problemas culturales, arquitectónicos, humanos, de gobierno y de apoyo. BMIS no reemplaza las muchas fuentes de mejores prácticas de programas de seguridad. Sin embargo, proporciona una visión de las actividades del programa de seguridad de la información dentro del contexto de la empresa más grande, para integrar los distintos componentes del programa de seguridad en un sistema holístico de protección de la información.

BMIS ha sido presentado a la membresía mundial de ISACA de acuerdo con su tradición, es decir, abriéndolo a la discusión. Durante una presentación que hice en una conferencia de ISACA recientemente, me encantó presenciar el entusiasmo y la emoción con la que se recibió el modelo. ISACA valora los comentarios de la audiencia y se está haciendo todo lo posible para que la próxima versión sea una guía sólida y práctica que se publicará a fines de 2009.

Con un enfoque renovado en la seguridad cibernética en toda nuestra nación, los gerentes de seguridad de la información necesitan herramientas que los ayuden no solo a renovar sino también a innovar las soluciones de seguridad. Muchos innovadores y pioneros han contribuido a la seguridad de la información desarrollando estándares y pautas, creando dominios de seguridad y ayudándonos a elegir las soluciones técnicas adecuadas. Con la incorporación de BMIS, los gerentes de seguridad de la información, los gerentes comerciales y los gerentes senior ahora tienen la herramienta para «hacer la seguridad correctamente a la primera» y abordar muchos desafíos de administración de manera proactiva y creativa. Es hora de pensar de manera diferente sobre nuestro enfoque de seguridad, y BMIS nos ayuda a hacer exactamente eso.

Meenu Gupta, CISA, CISM, es presidente de Mittal Technologies. Háganos saber lo que piensa sobre esta historia; Email [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

SAP Upscale Commerce se reinicia

SAP ha apostado a que un cambio de imagen de Upscale Commerce, su paquete SaaS de 3 años que compite con Shopify, atraerá a más empresas emergentes de marcas en línea y usuarios del mercado

Uso de la sintaxis XPath para rootear documentos XML

XML es una excelente manera de almacenar datos estructurados, pero encontrar esos datos de una manera que tenga sentido puede ser difícil. Cada idioma tiene una forma específica de consultar espacios de nombres, elementos y

HDX Mobile ofrece una experiencia móvil nativa

Fuente: iStock Redactor visual: sarah evans Citrix HDX Mobile se esfuerza por brindar la experiencia más nativa posible para los usuarios de teléfonos inteligentes y tabletas que trabajan con aplicaciones de Windows a través de

¿Qué es Android 3.0 Honeycomb?

Android 3.0 Honeycomb es un sistema operativo móvil propiedad de Google y diseñado específicamente para tabletas. Apareciendo por primera vez en Motorola Xoom en febrero de 2011, Android 3.0 Honeycomb también está disponible en otras

Evalúe las soluciones de Oracle – Página 2

Sopese los pros y los contras de las tecnologías, productos y proyectos que está considerando. ¿Puedo cambiar el tamaño del tablespace SYSTEM? Un usuario de Oracle pregunta si puede cambiar el tamaño del tablespace SYSTEM.

¿Quién tiene el control de sus sistemas de control?

Los ciberdelincuentes investigan constantemente los dispositivos de IoT de consumo, como enrutadores domésticos, cámaras IP e impresoras, para encontrar puntos de acceso a la red. Una vez que tienen acceso, pueden interrumpir las funciones de

Continuum Managed Services presenta una nueva oferta de BDR

Los proveedores de servicios administrados que trabajan con Continuum Managed Services pronto podrán probar una nueva oferta de respaldo y recuperación que emplea software recientemente adquirido y la nube SoftLayer de IBM. La plataforma Continuity247

Los mejores productos de autenticación multifactor

La autenticación multifactor (MFA) es un método para impulsar la seguridad de TI que requiere que los usuarios finales proporcionen múltiples métodos de identificación para confirmar su identidad para obtener acceso a los recursos y

La mejor base Thunderbolt 3 de Belkin

Después de obtener nuevas computadoras portátiles Lenovo a principios de este año, he estado investigando la tecnología Thunderbolt / USB 3.1 en torno a los puertos USB-C. Tanto mi X380 Yoga como mi X1 Extreme

La simplicidad es el nombre del juego.

El sistema operativo Pivot3 vSTAC y su familia de dispositivos de infraestructura hiperconvergente proporcionan una HyperSAN virtual que combina recursos informáticos, de almacenamiento y de red en todos sus nodos y máquinas virtuales. Características Pivot3

Colaboradores de SearchContentManagement

Sarah Amsler es editora gerente del equipo de contenido de alto rendimiento. Jacqueline Biscobing es editora gerente senior del equipo de noticias de Krypton Solid. Geoffrey Bock asesora a organizaciones y agencias gubernamentales sobre sistemas

¿Qué son las herramientas de automatización de ventas?

Una herramienta de automatización de ventas es la programación que agiliza la recopilación, el análisis y la distribución de datos en una canalización de ventas. Las herramientas de automatización de ventas se pueden utilizar para

Ya no solo para la empresa

Las organizaciones pequeñas y medianas enfrentan desafíos de administración de almacenamiento de datos al igual que las grandes empresas. Aunque la capacidad de los discos está aumentando, la cantidad de datos que se crean, procesan

¿Qué es Azure Cost Management de Cloudyn?

Azure Cost Management de Cloudyn es una herramienta de monitoreo y administración de costos de software como servicio (SaaS) para entornos de múltiples nubes. En julio de 2017, Microsoft, que opera la nube pública de

Configurar protocolos de almacenamiento en vSphere

SAN versus NAS e iSCSI versus NFS son debates de larga duración similares a Mac versus Windows. Muchas empresas creen que necesitan una SAN de canal de fibra costosa para obtener confiabilidad y rendimiento de

¿Cuándo tiene sentido?

Si bien muchos usuarios de SharePoint han invertido dólares en la versión local, hay mucho que recomendar en la versión basada en la nube de SharePoint. Como parte de la suite Office 365, SharePoint en

¿Qué es Microsoft Most Valuable Professional (MVP)?

Un Microsoft Most Valuable Professional (MVP) es un premio para las personas que han demostrado una experiencia técnica excepcional y un talento para compartir conocimientos dentro de su comunidad técnica. Los MVP son muy activos

3D e IoT: reducción de la fricción de identificación

Los sensores y actuadores están apareciendo en todo, desde nuestros zapatos hasta nuestros automóviles y nuestros electrodomésticos. El muy publicitado Internet de las cosas está aquí, y genera cantidades de información cada vez mayores. Conectar

Desarrollando la confianza digital en la era de IoT

La economía de las API expone digitalmente nuevos valores comerciales La economía de las API ha cambiado la forma en que las empresas monetizan sus ofertas. Las interfaces de programación de aplicaciones permiten que todo

¿Qué es Citrix Cloud? – Definición de Krypton Solid

Citrix Cloud es una plataforma de administración de espacios de trabajo para que los administradores de TI diseñen, entreguen y administren aplicaciones y escritorios virtuales y otros servicios, como el uso compartido de archivos, en

Cinco beneficios para sus clientes

La virtualización del almacenamiento está recibiendo mucha atención en estos días, pero no es nueva. Los administradores de volumen basados ​​en host han permitido durante mucho tiempo la extensión, reducción y migración sin interrupciones de

Cinco resoluciones de Windows 10 2018 a seguir

El comienzo de un nuevo año a menudo lleva a las personas a tomar decisiones; algunas personas se esfuerzan por perder peso, otras buscan ahorrar dinero. Independientemente de lo que elijan, el objetivo es mejorar

Mendix busca cambiar el panorama del código bajo

Mendix ha lanzado una nueva versión de su plataforma de desarrollo de aplicaciones de código bajo junto con un plan para ayudar a los socios a crear herramientas de código bajo, componentes de servicio y

¿Qué es la analítica web?

¿Qué es la analítica web? La analítica web es el proceso de analizar el comportamiento de los visitantes de un sitio web. Esto implica rastrear, revisar y reportar datos para medir la actividad web, incluido

¿Cómo soluciono los problemas de capacidad en VMware VDP?

vSphere Data Protection (VDP) de VMware es un dispositivo virtual sin agente que incluye desduplicación para una utilización eficiente del almacenamiento de respaldo, maneja el seguimiento de bloques modificados para acelerar los ciclos de respaldo,

Deja un comentario