Seguridad de la Informacin Auditora de Sistemas

La importancia del factor humano

Todo se resuelve con la tecnologa? Por qu los directivos deben hablar ms
con sus empleados sobre seguridad? Segn una investigacin global de fraude,
encargada por la consultora internacional Kroll y realizada por The Economist
Intelligence Unit, se encuestaron a 768 altos ejecutivos de todo el mundo
representando una amplia gama de industrias y funciones, cuya observacin
general es que el fraude sigue en aumento, donde tres cuartas partes (75 %) de las compaas informan que han
sido vctimas de un incidente de fraude en el ltimo ao.

El resultado de la investigacin revela que para el 81 % de las compaas encuestadas la mayor amenaza de
fraude proviene de sus reas internas, perpetrado por algn miembro de la propia organizacin. Este hecho
representa un importante incremento frente al 72 % registrado en la encuesta anterior.

Las empresas encuestadas representan a una amplia gama de industrias, incluyendo Servicios Financieros y
Servicios Profesionales, Comercio, Tecnologa de la Informacin, Telecomunicaciones, Salud, Farmacuticos y
Biotecnologa, Transporte, Ocio y Turismo, Bienes de Consumo, Construccin, Ingeniera e Infraestructura,
Recursos Naturales y Manufactura, lo que indica que esta problemtica no es privativa de una industria o pocas
empresas.

Cuando hablamos de fraude la primera relacin que hacemos est asociada a la estafa o robo econmico, pero
tambin debemos incluir aspectos relacionados con el robo a travs de la prdida de confidencialidad y privacidad
de la informacin, y la coincidencia entre ambos aspectos es la necesidad de proporcionar directrices para la
seleccin y especificacin de controles de seguridad relacionados con el factor humano que sirvan para ser
aplicados a cualquier proceso y sistema de informacin que deseemos sean ms seguros y con una gestin de
riesgos efectiva a travs de facilitar un enfoque ms coherente, comparable y repetible para la seleccin y
especificacin de los controles de seguridad de los sistemas y organizaciones de informacin y proporcionar un

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

catlogo estable, pero flexible, de controles de seguridad para satisfacer las necesidades de proteccin de
informacin actuales y las demandas de las necesidades de
proteccin futuros basados en el cambio de las amenazas, los
requisitos y las tecnologas.

Tengamos en cuenta que la prdida de confidencialidad y

privacidad de la informacin adems de tener como consecuencia
aspectos econmicos adversos para la organizacin, tambin le
crea expuestos legales y de imagen ante la comunidad, por lo que
la creacin de una base para el desarrollo de mtodos y procedimientos para determinar la efectividad de los
controles requiere que se discutan conceptos de gestin de riesgos asociados a los recursos humanos de toda la
organizacin. Segn lo mencionado por el Ministerio de Trabajo y Asuntos Sociales de Espaa en el documento
NTP 537: Gestin integral de riesgos y factor humano, la gestin de estos riesgos sobre la operacin y
funciones corporativas debe facilitar un efectivo control de todo tipo de prdidas y a travs de la cual, las
personas, asumiendo que son debidamente respetadas por la estructura de la que forman parte, contribuirn
notoriamente al logro de los objetivos empresariales.

Tal como lo sabemos, cada uno de los estndares aplicables a los sistemas de gestin contemplan el factor
humano, tanto en aspectos relacionados con su capacitacin y aptitudes tcnicas como en su propia gestin del
entorno de trabajo y sus responsabilidades en el cumplimiento legal y regulatorio. Las pautas determinantes para
conseguirlo son la formacin continua y la motivacin del personal, que son elementos esenciales para conseguir
1
 Seguridad de la Informacin Auditora de Sistemas

un buen nivel de competencia profesional, crear pertenencia con la organizacin y en consecuencia

comprometerse con los objetivos de la misma.

Es precisamente a partir de esta concepcin que una gestin adecuada de los riesgos
ayudar a modelar una metodologa para detectar cules son los aspectos esenciales
en los que la mejora es ms necesaria u oportuna sobre aquellos aspectos que
pueden tener serias implicaciones en el xito de una estrategia empresarial basada
en las personas. La NTP mencionada puede ser tomada como gua para analizar la
problemtica que planteamos en este artculo, ya que establece que deben ser
evaluados seis aspectos relevantes, que desde mi punto de vista pueden despertar
potenciales riesgos a la organizacin, al igual que cualquier otro aspecto tecnolgico o funcional:

LIDERAZGO Y ESTRATEGIA, evaluado como factor clave para el potenciamiento y apoyo al desarrollo de
competencias; revisin del mtodo en la delegacin de tareas, responsabilidades y autoridad; revisin de
la definicin de intereses estratgicos para la organizacin en prevencin de riesgos.

COOPERACIN, evaluando el desempeo del trabajo en equipo y la integracin de los objetivos de grupo
en los objetivos generales; as como la participacin activa a todos los niveles y la facilidad en las
relaciones funcionales e interdepartamentales.

COMUNICACIN, revisando cada uno de sus canales (vertical bidireccional y horizontal), sus formas y la
oportunidad de aplicacin de nuevas tecnologas; evaluar los medios de transmisin de la informacin,
sus tiempos y actualizacin.

ORGANIZACIN Y CULTURA, evaluando su flexibilidad y adaptabilidad al cambio; revisando la estrategia

de la gestin por procesos frente a la gestin por funciones, para evitar que se solapen competencias
decisionales ni funcionales; anlisis del sistema de desarrollo y promocin de las personas en la

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

organizacin; mejora continua y la toma de decisiones por la persona ms prxima (autonoma
decisional)

FORMACIN, evaluando las actividades facilitan el compartir conocimientos; los programas de

aprendizaje continuo y estratgica de aprendizaje

TECNOLOGA, revisando la gestin de aplicacin de nuevas tecnologas de la informacin y su

aprovechamiento para la generacin y gestin del conocimiento de los recursos humanos, y el
cumplimiento legal y regulatorio desde sus funciones laborales.

Las definiciones antes expuestas, y la problemtica entorno a los riesgos del factor humano, nos indican que el
2016 profundiza el desplazamiento en el enfoque adoptado por las diferentes regulaciones y estndares,
cambiando su estrategia de revisin haciendo centro en la evaluacin de la cultura de cumplimiento de las
empresas y no simplemente en la evaluacin tcnica o funcional disociada de la gestin de sus recursos humanos.

Las entidades regulatorias han puesto sus ojos en la cultura corporativa y su relacin con las prcticas de
cumplimiento ampliando su enfoque en reas tales como los controles internos y la gestin de riesgos evaluando
entre otras cosas, qu tan bien las empresas han implementado procedimientos adecuados para minimiza los
riesgos relacionados con toda gestin llevada a cabo por su personal.

2
 Seguridad de la Informacin Auditora de Sistemas

Para todos los casos y ante cualquier situacin, el riesgo del factor humano est siempre presente, por ello es
necesario establecer una metodologa cuantitativa en funcin de datos que representen el nivel de cumplimiento
interno, representados en un proceso de medicin que refleje en forma peridica el alineamiento a las polticas
internas de la organizacin y sus desvos. Tambin puede hacerse mediante encuestas internas a usuarios finales,
con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia
previa a evaluar el cumplimiento en los procesos. Con respecto a los
indicadores, los mismos deben ser dinmicos en funcin de nuevas
regulaciones o cambios en los procesos (lo que los hacen variables en el
tiempo); adems que tambin puedo establecer distintos niveles de
indicadores en funcin del nivel de madurez de la organizacin, lo que
tambin hace que puedan variar en el tiempo teniendo en cuenta el
crecimiento futuro en el nivel de cumplimiento de la misma.

Como conclusin, no importa para que proceso usted est implementando una gestin de riesgos. Lo importante
es tener en cuenta en ella a las personas y sus funciones dentro del proceso, con el fin de determinar en forma
temprana los controles y la metodologa en que los va a llevar adelante y medirlos.

Fabin Descalzo
fabiandescalzo@yahoo.com.ar
Gerente de Servicios y Soluciones en el rea de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec Security
Systems S.A., con amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas
Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la
optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI y Gobierno de
Seguridad de la Informacin.

Miembro del Comit Acadmico E-GISART 2016 de ISACA Buenos Aires Chapter, Miembro del Comit
Directivo del Cyber Security for Critical Assets LATAM Summit para Qatalys Global seccin
Infraestructura Crtica (Gobiernos y empresas de Amrica Latina en el sector de la energa, qumica,
petrleo y gas), Miembro del Comit Cientfico ARGENCON del IEEE (Institute of Electrical and Electronics
Engineers), Miembro del Comit Organizador CYBER 2015 de ISACA Buenos Aires Chapter, certificado en

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Direccin de Seguridad de la Informacin (Universidad CAECE), IRCA ISMS Auditor | Lead Auditor ISO/IEC
27001, instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu).

Columnista especializado en reas de Gobierno, Seguridad y Auditora, Informtica en Salud y Compliance

en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informtico, CXO-
Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias
Informticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

Profesor del mdulo 27001 del curso de IT Governance, Uso eficiente de Frameworks, y de la
Diplomatura en Gobierno y Gestin de Servicios de IT del Instituto Tecnolgico Buenos Aires (ITBA) y
Profesor en Sistemas de Gestin IT y Seguridad de la Informacin en entidades certificadoras.