INTRODUCCION

El siguiente escrito es un resumen del primer capítulo del libro Managing Risk and
Information Security del autor Harkins. El primer capitulo en general trata de
enfocarnos y centrarnos en la importancia de la seguridad de la información,
entregándonos datos acerca de las debidas prácticas, mostrando alcances de una
implementación estratégica de un sistema de seguridad de la información.
Otorgándonos la terminología adecuada de esta especialidad siendo concisa y clara
usando ejemplos bien planteados y argumentados.

1. ENFOQUE DE LA IMPORTANCIA DE LA SEGURIDAD DE LA

INFORMACIÓN

Tenemos que abrir más nuestros ojos y ampliar nuestro enfoque de acción ante la
mitigación de riesgos de una organización que no solamente se limita a la
implementación de tecnología para ‘’asegurar’’ la empresa.
la realidad de que la tecnología juega un papel esencial en la mayoría de las
actividades comerciales y en la vida cotidiana de las personas. Esta es ahora una
parte de nuestro sistema nervioso dentro de nuestra empresa, que, frente a la
necesidad de no decaer en un mundo arcaico, se ve enfrentada a reevaluarse y
evolucionar a las grandes ventajas que nos brinda un mercado e-comerce ya sea
invirtiendo en software o hardware.
La implementación de dicha tecnología es bastante flexible y versátil en muchos de
los procesos de una empresa, sin embargo, desde el momento en que decidimos
avanzar en tecnología, empezamos a estar expuestos a diversos contratiempos y
riesgos que puede acarrear un impacto no tan positivo a nuestra organización.
Entonces no solamente se trata de implementar tecnología como un producto y ya,
sino que también se trata de establecer la gran importancia de la misma, con el fin
de identificar aquellos activos de información mas importante y así mismo darle un
trato que concuerde con el nivel de importancia de los activos que nuestra
tecnología maneje, almacene o procese.
 2. LOS DESAFÍOS DE LOS ALCANCE DE LOS COSTOS Y
HABILIDADES DE SEGURIDAD

Para este subtitulo nos brinda información de datos a actuales y a futuros (todo esto
en espacio-tiempo en el que se ubica el libro) otorgándonos datos porcentuales y
sobre las empresas que reconocen la seguridad de la información como parte de
los procesos de la empresa. Ejemplo:
‘’El creciente reconocimiento de la importancia de la seguridad y la privacidad,
desencadenado en gran medida por infracciones altamente publicitadas, ha llevado
a un aumento drástico del gasto en seguridad y una escasez de habilidades que lo
acompaña. Si la trayectoria actual continúa, Gartner Inc. predice que para 2017 la
organización de TI típica gastará hasta el 30 por ciento de su presupuesto en riesgo’’
Esto nos da una tendencia positiva para las futuras vacantes y una gran oportunidad
para los futuros especialistas en la seguridad de la información y la informática.
Profesionales que deberán guiar sus esfuerzos en nuevos modelos de seguridad y
herramientas que creen una disminución demostrable en la curva de riesgo, con un
mayor enfoque en prevención efectiva y aprendizaje automático para reducir costos
y esfuerzo manual.
La correcta documentación y visibilizarían de los controles de seguridad de la
información le permitirá a la empresa el desligarse y flexibilizar su trabajo de equipo
al momento de enfrentarse a un incidente. La resiliencia en la clave de la mejora
continua.

3. FORMANDO CONFIANZA

En este punto se hace referencia a la importancia de la confianza del cliente, ante

nuestros sistemas de seguridad de la información pues se afirma que los avances
tecnológicos están se están abriendo al público demasiado rápido, esto conlleva a
que muchos se hagan la pregunta como: ¿es la tecnología de punta la más segura?
O también, ¿las nuevas tecnologías han pasado por un control riguroso de
seguridad, ante de ser lanzadas al mercado público? Estas y mas son las
interrogantes que el cliente se plantea.
Debido a esto es que los profesionales en la seguridad de la información tenemos
que tomar la iniciativa, y lograr que las nuevas tecnologías pasen los filtros básicos
de seguridad antes de ser lanzadas al mercado.
 4. PERSONALIZACIÓN VS. PRIVACIDAD

En este punto nos informaremos sobre el cómo las organizaciones que más saben
sobre cada individuo, más pueden personalizar los servicios y ofrecer publicidad
dirigida basada en los ingresos y las preferencias. Y no lo plantean como una simple
estrategia de marketing para mejorar el volumen de utilidades, sino como una
necesidad que deben implementar pues entre mas conozca la empresa de sus
clientes, mas debe procurar personalizar la su publicidad, ya que necesita que la
información correcta se encuentre con el potencial cliente. Entonces notamos una
relación muy estrecha entre la privacidad del cliente y la publicidad personalizada
que se muestra, aumentado así la posibilidad de una compra por parte del mismo.
‘’Las empresas ahora tienen la oportunidad de recopilar información de múltiples
fuentes en línea, correlacionar y analizar esta información y luego venderla a otros.
Y, por supuesto, los temores de los consumidores de que la información se pierda
o se use indebidamente han aumentado en consecuencia. Para las empresas, sin
embargo, ofrecer servicios personalizados también puede aumentar las
preocupaciones de cumplimiento’’ dice Harkins.
Lo anterior no solamente se puede generar ventajas estratégicas de mercado para
una empresa, sino que también las compromete de forma privada y legal, con los
clientes que prestaron su información a la empresa y aunque esta tenga la
necesidad de crecer y bajo la idea de entregar menos publicidad basura para el
cliente. Ninguna organización privada esta de las leyes que tratan del manejo de la
privacidad de los datos.

5. E-DISCOVERY

Las regulaciones que rigen el descubrimiento de información para fines de litigio

extendieron oficialmente su alcance al ámbito electrónico en 2006.
Este punto nos da a entender que las leyes sobre la protección de los datos están
vigentes desde hace va varios años, el no conocimiento de ellas no nos hace
exentos de la ley. Toda empresa que no cumpla con sus políticas tiene que pagar
ante la ley sin embargo el estado mismo si esta excepto de esta ley pues es el único
que puede solicitar acceso a información de terceros que se encuentren registrados
en la empresa.
 6. AMPLIAR EL ALCANCE DE LA REGULACIÓN

La Administración de Alimentos y Medicamentos (FDA) ha publicado pautas de

seguridad cibernética que describen los requisitos para los fabricantes de
dispositivos médicos conectados a Internet (FDA 2016).
Los intentos de varios gobiernos para obtener acceso a la tecnología con el fin de
combatir el terrorismo han generado un considerable impacto y controversia.
Este punto nos trata de explicar que, si bien la seguridad de la información es pieza
fundamental de la organización, ésta, no necesariamente tiene que regirse de forma
tan rigurosa, cuando se presentar casos que competen al gobierno.

EL resto de los puntos hacen un énfasis más personalizado y más amigable para
entender los puntos que componen la seguridad de a información.

7. NUEVE LEYES IRREFUTABLES DE RIESGO DE

INFORMACIÓN

Nueve leyes irrefutables de riesgo de información:

 Ley # 1: la información quiere ser gratuita. Las personas quieren hablar,

publicar y compartir información, y al hacerlo aumentan el riesgo.
 Ley # 2: el código quiere estar equivocado. Nunca tendremos un software
100 por ciento libre de errores.
 Ley n. ° 3: los servicios quieren estar activos. Ej: procesos de software de
seguridad utilizados para actividades cotidianas, como mantener los
sistemas actualizados con parches de software o monitoreo de malware.
 Ley # 4: los usuarios quieren hacer clic. Naturalmente, las personas tienden
a hacer clic cuando ven enlaces, botones o mensajes. Esto conlleva a una
gran vulnerabilidad que muchos atacantes especializados pueden explotar
 Ley n. ° 5: incluso una característica de seguridad puede usarse para causar
daño.
 Ley # 6: La eficacia de un control se deteriora con el tiempo. Necesitar de un
monitoreo periódico.
 Ley # 7: el código debe ejecutarse. Todo el software, bueno o malo, debe
ejecutarse para realizar su función prevista.
  Ley # 8: los controles crean fricción. Los controles de seguridad pueden
ralentizar a los usuarios y los procesos empresariales al afectar el
rendimiento del sistema o forzarlos a utilizar procesos engorrosos.
 Ley # 9: a medida que crecen nuestras oportunidades digitales, también lo
hace nuestra obligación de hacer lo correcto.

8. UN NUEVO ENFOQUE PARA GESTIONAR EL RIESGO

Como ultimo punto nos da a entender que como profesionales de la seguridad de la

información debemos tener unas reglas para la misma, reglas que posteriormente
se basaran en el concepto de protegiendo para habilitar:

 Incorporar privacidad y cumplimiento normativo por diseño, tomando una

Visión holística del riesgo de la información.
 Sea lo suficientemente dinámico y flexible como para adaptarse rápidamente
a los nuevos avances.
 gestionando el riesgo. Nuestros roles solo aumentarán en importancia a
medida que la tecnología se vuelva.