UN CONCEPTO EXTENDIDO DE LA MENTE SEGURA: PENSAMIENTO SISTÉMICO EN

SEGURIDAD INFORMÁTICA.

1.- EVOLUCIÓN DEL CONCEPTO DE SEGURIDAD INFORMÁTICA

Años 60’s, el surgimiento de internet, la guerra y la investigación de las universidades, hace que
surjan las necesidades de protección, control, registro, seguimiento, aniquilación y
supervivencia todo esto orientado al ámbito político. Relacionado a Seguridad nacional,
estrategias y dispositivos tecnológicos para mantener tu posición frente a una guerra. Basado
en la protección de la información de los sistemas mediante la aplicación de la criptografía y un
conjunto de aplicaciones automatizadas, y clasificación de la información para controlar el
acceso.

Durante los años 70’s y 80’s se promueven múltiples iniciativas para fortalecer el tema de
seguridad informática particularmente orientado por el área técnica. ISACA: principios de la
seguridad de la información: Confidencialidad, Integridad y Disponibilidad.

Aquí las implementaciones técnicas eran lo importante. No existía una visión hacia las soluciones
de control de la información.

Años 80’s la seguridad informática se ha consolidado como una disciplina científica, desarrollo
de productos y modelos de seguridad que permitan un acceso controlado a la información.
Nueva perspectiva.

Años 90 (internet), seguridad distribuida. Seguridad de Interacción con terceros. Hace que surjan
los primeros estándares. Durante los 90’s surgen una variedad de productos de seguridad.

La reconciliación del tema de seguridad con el tema de negocios. la seguridad informática es un

conjunto de relaciones que cubren la tecnología, la organización y los individuos.

2.- REVISANDO LAS PRÁCTICAS ORGANIZACIONALES EN SEGURIDAD INFORMÁTICA

tecnología (T), organización (O) e individuo (I).

Para las organizaciones las prácticas de seguridad informática están relacionada más al ámbito
de tecnología. De igual forma, el diseño e implementación de políticas de seguridad, se torna un
tema de tecnologías y no de decisión administrativa. Lo que hace que pierdan su contexto
organizacional y no se percibe como parte corporativo, logrando que está en juego el nivel de
seguridad informática de la organización y por ende su buen nombre.

Por tanto, las prácticas organizacionales actuales sugieren una separación decisiones
corporativas que se concentran en elementos tecnológicos y otro tanto en aspectos
organizacionales (de procesos), marginando la presencia de los individuos como agentes
operadores. Es decir que las relaciones de TOI se transformen en realidad tangible para los
usuarios, concreta para la organización y real para la tecnología, con el fin de hacer de la
seguridad de la información una experiencia que inicia en el individuo, se manifiesta en los
procesos y se verifica en la tecnología. Es decir, un sistema que desarrolla un esquema como un
ser vivo, que piensa, para nuestro caso con una mente segura.
 LA MENTE SEGURA: HACIA UN PENSAMIENTO SISTÉMICO EN SEGURIDAD INFORMÁTICA

3.- CONCEPTOS BÁSICOS DE LA MENTE SEGURA

Implica reconocer la esencia dinámica de la seguridad, concentrándose en una situación

particular, en las virtudes y reglas de seguridad con el fin de tomar decisiones claras,
consistentes y efectiva. Las virtudes contextualizan el tema en prácticas de seguridad en cada
uno de los momentos de la organización. Son:

1. La seguridad debe ser una consideración diaria: incluir la seguridad en cada momento,
proceso y persona, para que el número de vulnerabilidades asociadas con las relaciones de los
sistemas o aplicaciones sea menor.

2. La seguridad debe ser un esfuerzo comunitario: vincular de manera natural a los usuarios
finales en prácticas de seguridad.

3. Las prácticas de seguridad debe mantener un foco generalizado: considerar las reglas de
seguridad informática permiten mantener una visión general.

4. Las prácticas de seguridad deben incluir algunas medidas de entrenamiento para todo el
personal de la organización: el entrenamiento y capacitación de los usuarios finales en el tema
de seguridad es un elemento que define en sí mismo el nivel de seguridad de la organización.

Las reglas son un conjunto de prácticas y conceptos generalmente utilizados por las
organizaciones. Son:

1. Regla del menor privilegio: ofrecer el acceso requerido para realizar la labor solicitada
exclusivamente y no más.

2. Regla de los cambios: los cambios que se presenten deben ser coordinados, administrados y
considerados en función de las implicaciones de seguridad.

3. Regla de la confianza: comprender completamente los efectos de extender nuestra confianza

a un tercero y solamente confiar en lo que se requiere y acuerda de la relación.

4. Regla del eslabón más débil: seguridad de un sistema es tan fuerte como el componente o
relación más débil que se identifique.

5. Regla de separación: sugiere que para mantener seguro algún elemento, éste debe ser
separado de peligros y riesgos de su mundo alrededor.

6. Regla de los tres procesos: requiere permanentemente monitoreo y mantenimiento.

7. Regla de la acción preventiva: nos alerta y concientiza que la seguridad no puede ser exitosa
si no viene acompañada de acciones preventivas.

8. Regla de la respuesta apropiada e inmediata: nos dice que los pasos que una organización
toma cuando ha ocurrido un incidente de seguridad son tan importantes como las acciones que
tomamos para prevenir el ataque.

4.- LA MENTE SEGURA EXTENDIDA: UNA REVISIÓN SISTÉMICA

Una mente insegura es aquella que no identifica los elementos y relaciones alcance de la
seguridad informática: tecnología (T), organización (O) e individuo (I).
La regulación y adaptación (OT)es un ciclo de control continuo que le permite evolucionar
conforme evoluciona la organización y la realidad inherente a la inseguridad informática.

El entrenamiento y la capacitación (IT) consiste en elevar los niveles de aprendizaje de la

organización en usos de tecnología y seguridad informática.

La concientización y procesos(OI), establece los vínculos formales de la estrategia e importancia

de la seguridad informática para la organización. Integrar políticas de seguridad en el plan
estratégico corporativo.

No reconocer estas relaciones hará que una organización se encuentre mas expuesta a las
vulnerabilidades.

LA PRÁCTICA DE LA MENTE SEGURA

¿Cómo practicar la consideración diaria?:

- Establezca cuál es su papel frente a la información de la organización: Custodio
(directrices de acceso), Usuario (usa) y Propietario (define estrategias).
- Revise los elementos de la seguridad de hogar.
- Considerar la seguridad en cualquier proyecto.
- Considerar la seguridad en diseño de aplicaciones o procesos.
- Concursos para fundamentar la seguridad.
Practicando la virtud de la Educación:
- Orientación y guías de buenas prácticas de instalación de software.
- Presentación y actualización permanente de las estrategias de vulneración.
- Orientación y guías sobre navegación el web.
- Manejo y control de la información confidencial.
- Creación y actualización de cursos internos sobre la seguridad de la organización.
Revisando y aplicando la visión de alto nivel:
- Simulación de posibles ataques.
- Talleres prácticos de aplicación de políticas de seguridad informática.
- Juego de roles, para implicara a los colaboradores en la seguridad informática.
Desarrollando la creatividad y curiosidad disciplinada:
- Creación de un laboratorio de investigación y desarrollo interno.
- Validar la efectividad las actividades y mecanismos de control.
- Creación y actualización de guías de aseguramiento de las máquinas corporativas.
- Participación en foros y eventos sobre temas de seguridad informática.
- Promoción de los programas de certificación académica en temas de seguridad.
La práctica del esfuerzo común:
- Mantenga informado a todo el personal en un lenguaje claro y preciso sobre las fallas de
seguridad informática identificadas.
- Promueva la formación de redes de información sobre vulnerabilidades de seguridad y sus
estrategias de prevención y control.
- Desarrollar conciencia de seguridad informática.

LIMITACIONES Y RETOS DE LA MENTE SEGURA

Se requiere desarrollar métricas de gestión de seguridad informática, que de manera
complementaria alimenten los resultados que ofrece la visión sistémica de la seguridad
informática. Y nos ayuden a responder preguntas como:
¿Mi seguridad informática actual es mejor que el año anterior?
¿Cuál es el beneficio que estoy obteniendo de toda la inversión que se ha efectuado en
seguridad informática?