JOnline: El Debido Cuidado en Seguridad de la Información 

 

Un Ejercicio de Virtudes Para el Responsable de la Seguridad de la Información

Download Article

Resumen

Las consecuencias de las fallas frente a la protección de la información en las organizaciones frecuentemente terminan en pérdidas de disponibilidad y en efectos, algunas veces catastróficos. En este contexto, los responsables de la seguridad de la información se encuentran ante un dilema profesional y jurídico, que exige de éstos, de un lado aunar sus mejores esfuerzos para limitar la materialización de las vulnerabilidades, y por otro, asumir los efectos cuando éstas se hacen realidad en la empresa. Considerando lo anterior, este artículo presenta una propuesta que formula un modelo conceptual de debido cuidado en seguridad de la información amparado en la obligación legal empresarial de proteger la información y la efectividad del programa de seguridad de la información, como fuentes de derecho y práctica para facilitar los procesos de negocio y dar sentido la cultura de autocontrol requerida por las regulaciones nacionales e internacionales.

Introducción

Existen muchas posiciones y reflexiones sobre lo que debe ser el “debido cuidado” de los responsables de la seguridad de la información o mejor de la función de seguridad de la información. Es un tema que tiene múltiples aproximaciones y connotaciones que harían falta muchos elementos para dar una respuesta concreta y detallada, frente a las responsabilidades e implicaciones que se puedan tener, una vez se materializa una falla de seguridad de la información.

Considerando los acelerados cambios que se vienen presentando a nivel internacional alrededor de tendencias como la cibercriminalidad, el robo de la identidad, el ciberterrorismo, entre otros, podemos observar un renovado interés sobre la información y su protección. Dentro de las tendencias más importantes identificadas tenemos:1

  • Proliferación global de leyes y regulaciones creadas en respuesta a los consumidores y preocupaciones de los gobiernos alrededor del robo de identidad, la privacidad y seguridad de la información personal
  • La complejidad de las organizaciones globales frente al tema de la tercerización
  • Un énfasis cada vez mayor en el valor de los activos intangibles de información y el impacto de dicha valoración sobre los estados financieros y su adecuada gestión del riesgo
  • Desarrollo y expansión de nuevas y más rápidas tecnologías para transmitir, almacenar y compartir información
  • La competencia desmedida en el mercado mundial y la presión concomitante para reducir los costos

En este contexto los responsables de la seguridad de la información se encuentran en una encrucijada que les exige por una lado mantener un nivel adecuado de protección de los activos de información y cumplimiento normativo internacional, y por otro, mantener una flexibilidad en el tratamiento de la información en el desarrollo de los procesos de negocio de la compañía, que generalmente exigen procesos ágiles y livianos para atender las oportunidades del mercado.

Entendiendo el Debido Cuidado en Seguridad de la Información

Diseñar y desarrollar un adecuado ambiente de seguridad y control, exige un proceso de negociación asistido por un entendimiento de los riesgos propios de los flujos de información en las actividades productivas de la organización. Esto es, encontrar el justo medio que permita establecer las responsabilidades de los participantes frente a las amenazas y las acciones sistemáticas y sistémicas que debe adelantarse para anticiparse frente a una posible materialización de las mismas.

Cuando la seguridad de la información se entiende más allá de “algo que otros piensan por mí” y se supera la barrera histórica de su entendimiento fuera de una distinción tecnológica y de implementación de herramientas de software, estamos asistiendo a la confirmación real del reconocimiento de la información como un activo fundamental y estratégico de las organizaciones. En este sentido, los elementos normativos que se tienen frente a las regulaciones internacionales como pueden ser entre otros: Sarbanes-Oxley,2 Health Insurance Portability and Accountability Act (HIPAA),3 Gramm-Leach-Bliley Act (GLBA),4 Payment Card Industry (PCI),5 dejan de ser algo por el cual las empresas se deben preocupar, y se transforman en una invitación o motivación natural del entorno que les exige una gestión de la información más activa y efectiva que proteja no solamente los intereses de sus accionistas, sino las condiciones reales de las personas que depositan en ellos la confianza en la administración de sus datos.

Por otro lado, es claro que luego de un ejercicio de administración de riesgos6 se tienen los riesgos residuales, que no son otra cosa que “la puerta abierta” que permanece luego de haber aplicado las medidas de control requeridas y concertadas. Esto es, el riesgo que acepta y asume la organización, y que convive con él, sabiendo que de materializarse sabrá enfrentarlo y contenerlo según su preparación para enfrentar incidentes que se presenten.

Ante la inevitabilidad de la falla, los responsables de la seguridad de la información saben que la monitorización permanente y la vigilancia activa sobre los riesgos en los flujos de información, la efectividad de las medidas de seguridad tecnológica y el fortalecimiento de la cultura de seguridad de la información, son elementos sistemáticos que deben mantener dentro del radar estratégico de control tecnológico organizacional.

Así las cosas, entrar a definir lo que se debe considerar como un estándar de debido cuidado (due care) para el responsable de seguridad de la información, no puede restringirse a listas de chequeo de buenas prácticas internacionales, ni a las implicaciones de incumplimientos normativos, ni a los impactos propios de los incidentes de seguridad de la información, sino a un entendimiento profundo de la función de seguridad de la información como facilitador corporativo y seguro estratégico de las decisiones de la alta gerencia.

En este sentido y con el fin de armonizar lo que vamos a entender por debida diligencia (due diligence), recurrimos al diccionario negro de leyes (Black’s Law Dictionary) donde se define la debida diligencia como una:

Medida de prudencia normalmente ejercida por un individuo y que se puede esperar de un hombre razonable y prudente en circunstancias particulares, la cual no puede ser medida por un estándar absoluto, pero si en un contexto relativo a un caso especial o particular.

En consecuencia con lo anterior, los elementos que se plantean a continuación establecen una medida base de la prudencia del ejecutivo de la seguridad de la información, frente a la dinámica propia de la empresa para la cual presta sus servicios y la referencia natural que se tiene frente a su responsabilidad ante la materialización de incidentes de seguridad de la información en la organización.

Definiendo Una Propuesta de Debido Cuidado en Seguridad de la Información

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de Etsebeth7 detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos (figura 1):

  • La obligación legal de las organizaciones de proteger la información
  • Las responsabilidades frente a la materialización de las fallas de seguridad de la información
  • El desarrollo efectivo de un programa de seguridad de la información
  • Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Figura 1

Obligación Legal de Proteger a la Información

La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de:8

  • La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada
  • ¿Quién tiene acceso a la información?
  • ¿Qué pueden hacer las personas con la información?
  • ¿Cuánto tiempo éstas tendrán acceso?
  • ¿Quién tiene la autoridad para cambiar el acceso y cómo?

En este sentido, la obligación legal de proteger la información es una realidad inherente a las buenas prácticas nacionales e internacionales, que lo único que hacen es detallar en las acciones y actividades cotidianas del tratamiento de la información, las condiciones mínimas antes enumeradas como fuente de elementos probatorios de la responsabilidad de cada una de las personas en su papel frente al uso de la información (propietario, usuario o custodio).

Responsabilidades Frente a las Fallas de Seguridad de la Información

Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés (figura 2).

Figura 2

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y minoritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

Algunas exigencias en este sentido, se hacen directamente en la ley GLBA en Norteamerica, que obliga a todos los establecimientos financieros a proteger la información personal de sus clientes y efectuar los reportes públicos del caso cuando se presenta un incidente de seguridad que pone en riesgo dicha información.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información (chief information security officer), quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

Un caso particular de esta responsabilidad se tiene para la norma HIPAA ley Norteamericana que obliga a todos los participantes del sector de la salud para proteger la información registrada sobre los pacientes. Si se advierte una falla de seguridad bien sea en la protección de la vida privada, en transacciones electrónicas y codificación de los datos médicos o en la confidencialidad, integridad y disponibilidad de los datos médicos, el centro de atención médico se verá avocado a multas y sanciones ejemplarizantes que impacten su reputación y la confianza de los terceros en el servicio que se presta.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Un ejemplo concreto de este nivel es la norma PCI que detalla las mejores prácticas para asegurar los datos de las tarjetas de crédito que son almacenadas, procesadas o transmitidas. Al ser esta pauta, una conjunto de especificaciones técnicas requeridas en los sistemas que efectúan las transacciones por tarjetas de crédito, se hace necesario tener cuidado en los detalles de diseño e implementación de controles tecnológicos que hagan realidad lo que exige la norma. El hacer caso omiso de los pormenores de la implementación de las medidas tecnológicas, genera una no conformidad en la operación del sistema y por lo tanto, la pérdida de oportunidades de negocio que vienen articuladas con el aseguramiento y cumplimiento de esta norma, como práctica de clase mundial.

Diseño y Desarrollo el Programa de Seguridad de la Información

Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial.9

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Un claro ejemplo de esta realidad se puede observar en los procesos de implementación de objetivos de control para tecnología de información basados en COBIT como apoyo para cumplir con los requerimientos que exige la ley Sarbanes-Oxley Act para los sistemas de información soporte de los reportes financieros. Este ejercicio de validación y aseguramiento de un adecuado ambiente de seguridad y control, requiere necesariamente el fortalecimiento de una cultura de seguridad de la información, la formalidad en los procesos de control de cambios, control de acceso y sobre manera, un entendimiento de que ahora las prácticas de autocontrol no son algo fuera del proceso, sino parte del mismo y de la monitorización inherente que los propietarios de la información validan en su proceso de negocio.

Roles y Responsabilidades Frente al Tratamiento de la Información

Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo y forma que la organización minimizará los riesgos asociados con la obsolescencia tecnológica, la compatibilidad entre los formatos de datos utilizados y la integridad de los medios de almacenamiento.

Seguimiento y Control del Gobierno de la Seguridad de la Información

Necesariamente lo anterior, debe responder no solamente a una adecuada provisión de recursos técnicos, financieros y talentos humanos, sino a toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional ante supuestos equívocos respecto de la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento continuo por parte de la función de seguridad y su cuerpo directivo cumpliendo con lo que se denomina debida diligencia (due diligence), de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro de situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)”10

Repensando Las Exigencias de Cumplimiento Normativo y Regulatorio

Así las cosas, concebir un modelo base de debido cuidado en seguridad de la información como el presentado, demanda en la organización el desarrollo de una cultura de seguridad de la información formal, que reconocida como práctica general de los empleados de la empresa, desde la alta gerencia hasta el último operario en los procesos de negocio, construye una norma tácita de cumplimiento normativo inmerso en el ADN corporativo, haciendo evidente esa propiedad emergente tan deseada por las empresas y entes de supervisión y seguimiento, como lo es el autocontrol.

Las exigencias de cumplimiento normativo en seguridad de la información o de protección de la información, no son otra cosa que la preocupación de la sociedad actual que reconoce mayores niveles de vulnerabilidad en el flujo de la información y mayor exposición al riesgo de la misma, frente a unas prácticas inestables y poco sistemáticas de las organizaciones y las personas frente a esta realidad.

Luego las normas como Sarbanes-Oxley Act, la cual busca asegurar la confiabilidad de los reportes financieros de una empresa que cotiza en la bolsa; PCI que busca certificar un conjunto mínimo de controles y requisitos de seguridad y control para proteger la información de los tarjetahabientes y la HIPAA, que obliga a todos los participantes del sector de la salud para proteger la información registrada sobre los pacientes, entre otras, lo que hacen es detallar elementos de seguridad y control que son requeridos en diferentes escenarios, como marcos de acción que le permitan a las personas y organizaciones, tener una manera concreta de alcanzar un ambiente de control adecuado frente a las exigencias de un mundo dinámico y gobernado por la inevitabilidad de la falla.

Conocer la norma y la manera como se cumple la misma, no garantiza que la organización ha efectuado la interiorización requerida para comprender que la información es un activo de la sociedad moderna. En este sentido, tenemos que las empresas se mueven a la observancia de estas regulaciones más por el temor a la sanción y exposición de su buen nombre frente su incumplimiento, que por comprender que ellas llevan en sí mismas, un reconocimiento de riesgos generales y globales que son inherentes a la sociedad de la cual ellas hacen parte.

Por tanto, cuando una empresa comenta que cumple con una norma o regulación, no asegura en sí misma, que se tenga una mayor nivel de confiabilidad de las operaciones, pues no sabemos nada del nivel de aseguramiento de las prácticas de seguridad y control que exige el nivel de riesgo propio de sus procesos de negocio.

Sabiendo que la alta gerencia de las empresas se vale de instrumentos de monitorización y seguimiento independientes como auditorías internas y externas, investigaciones periódicas,11 revisiones y seguimientos periódicos, así como análisis de referentes de industria frente las fallas de seguridad de la información, se hace necesario repensar los aspectos de cumplimiento, más allá del cumplimiento de un conjunto de exigencias, por un enfoque basado en riesgos que balancee la perspectiva de no cumplimiento, frente a la de cumplimiento requerido por la empresa.

La propuesta elaborada por Jegousse12 establece analizar y balancear los riesgos de negocio y los de cumplimiento normativo. Entendiendo los primeros como aquellas situaciones que pueden resultar en una pérdida de productividad, pérdida financiera, responsabilidades o daño en la reputación, las cuales si no se manejan de manera adecuada, pueden generar impactos negativos en el posicionamiento estratégico de la empresa. Mientras los segundos, son situaciones que pueden modificar la configuración de los controles claves actuales que soportan el cumplimiento con las exigencias de las normas nacionales o internacionales.

El balance de los riesgos está dado por nivel de supervisión y aseguramiento requerido cuando se cruzan estos dos tipos de riesgo, como se observa en la figura 3.

Figura 3

Si el nivel de riesgo de cumplimiento es alto, indistintamente sea el nivel de riesgo de negocio (nivel 4), el nivel de supervisión requerido deberá ser formal por parte del líder del programa de seguridad, el oficial de cumplimiento y los participantes de los equipos de trabajo (líder funcional y técnico) para lo cual deberán verificar el nivel de avance del programa de seguridad de la información y la evolución del nivel de madurez de la función de seguridad, adelantar pruebas formales de los controles en diseño y operación, y efectuar un reporte de la ejecución de los controles en el contexto de los procesos de negocio.

Ahora bien, si el nivel de riesgo de negocio es alto y el nivel de riesgo de cumplimiento está entre bajo y medio (nivel 3), el oficial de cumplimiento y los participantes del equipo de trabajo (líder funcional) deberán generar reportes de control de cambios y diagnóstico de la efectividad de los controles en el desarrollo de los procesos, así como reportar el nivel de avance en el aseguramiento de prácticas de seguridad de la información en el tratamiento de la información (particularmente la clasificación de la información, según su confidencialidad).

Si tanto el nivel de riesgo del negocio como el de cumplimiento se ubica entre bajo y medio (nivel 2), un miembro de los equipos de trabajo en los negocios (líder funcional), deberá mantener una autoevaluación de la efectividad de los controles en los procesos de negocio donde participa, así como un seguimiento de la incorporación de las prácticas en el tratamiento de la información frente a los riesgos identificados y los resultados de ejercicios de valoración de riesgo anteriores.

Cuando el nivel de riesgo tanto de negocio como de cumplimiento es bajo, los participantes del grupo de trabajo (líder funcional y técnico) deberán mantener un registro de la evidencia de la aplicación de controles y seguimiento a los controles de cambios que sucedan en los controles actuales, como una forma de conservar la trazabilidad de las prácticas de seguridad y control incorporadas en los flujos de información del negocio.

Si se logra asegurar este nivel de supervisión requerido para balancear los dos riesgos comentados, se tendrá una cultura y práctica de seguridad de la información inherente al proceso mismo del negocio, lo que hará que, una nueva consideración de cumplimiento normativo, cualquiera que esta sea, se convierta en una motivación para mejorar las actividades que ya se vienen desarrollando como parte de la estrategia de fortalecimiento del control interno corporativo.

Así mismo, frente a los requerimientos legales propios de los entornos de negocio de las organizaciones, se podrá contar con la evidencia suficiente y necesaria para afrontar el juicio de responsabilidades (por parte de un tercero – p.e un Juez) en el actuar y proceder de cada uno de los involucrados cuando se presente alguna situación excepcional, sabiendo que el aseguramiento de prácticas de seguridad de la información nos permite salvaguardar la reputación de compañía, incrementar la confianza de los terceros y avanzar en el desarrollo de ventajas competitivas.13

Reflexiones Finales

Comprender el debido cuidado en seguridad de la información en las organizaciones, es un ejercicio para reconocer las posibles fallas de los controles internos informáticos, donde el resultado tanto de las revisiones por parte de los entes de supervisión internos y externos, así como de las pruebas de vulnerabilidades en el hardware como software, hacen parte de lo que los responsables de la seguridad de la información deben tener en cuenta, para conocer y valorar el nivel de aseguramiento de la información de una empresa.

En este sentido, el nivel de cumplimiento requerido por parte de una organización frente a las exigencias nacionales o internacionales, deberá ser parte de un diseño de un programa de interiorización de prácticas de seguridad de la información que permita cumplir con la obligación legal de protegerla, asumir las responsabilidades ante la materialización de una falla y asegurarla de acuerdo con los controles definidos frente a los riesgos identificados.14

Cuando se tiene claridad sobre el debido cuidado en el tratamiento de la información en las empresas, se tiene mayor certeza sobre los impactos de la materialización de los riesgos y la forma como ellos deben ser atendidos de acuerdo con su nivel de clasificación y sus implicaciones en los procesos de negocio donde es creada, procesada, almacenada, transmitida, usada y comunicada.

Así las cosas, contar con un modelo de debido cuidado en seguridad de la información, permite a las organizaciones desarrollar y mantener una vista sistémica de la evolución del gobierno de la seguridad de la información, que le proporciona a la alta gerencia una forma concreta y real de validar el compromiso renovado de todos y cada uno de los colaboradores de la empresa frente a la seguridad de la información en sus tareas diarias.

Por tanto, se hace necesario un trabajo interdisciplinario entre las área de negocio, el área de tecnología de información, el departamento jurídico y la junta directiva, para que a la luz del marco de acción propuesto para implementar el debido cuidado de seguridad de la información, podamos valorar los beneficios del cumplimiento regulatorio, sus costos y los impactos de una falta al cuerpo normativo que le aplica en el contexto del negocio en cuestión.

En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda de los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad.15

Finalmente, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Agradecimientos

El autor agradece al abogado Rafael Gamboa Bernate, LL.M., por su tiempo y valiosos comentarios que permitieron afinar y ajustar las ideas propuestas en este artículo.

Referencias

1 Steele, B. Due Diligence on IT Security, USA, Ziff Davis Enterprise, 2009, http://www.baselinemag.com/c/a/Security/Due-Diligence-on-IT-Security/ (consultado 3 Octubre 2010)
2 US Sarbanes-Oxley Act of 2002, http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/html/PLAW-107publ204.htm (consultado 29 Octubre 2010)
3 US Health Insurance Portability and Accountability Act (HIPAA), 1996, http://www.cms.gov/HIPAAGenInfo/Downloads/HIPAALaw.pdf (consultado 29 Octubre 2010)
4 US Gramm-Leach-Bliley Act (GLBA), 1999, http://www.gpo.gov/fdsys/pkg/PLAW-106publ102/html/PLAW-106publ102.htm (consultado 29 Octubre 2010)
5 Payment Card Industry (PCI) Security Standards Council, https://www.pcisecuritystandards.org/security_standards/documents.php (consultado 29 Octubre 2010)
6 International Organization for Standardization, ISO 31000:2009, Switzerland, 2009, www.iso.org/iso/catalogue_detail.htm?csnumber=43170
(consultado 29 Octubre 2010); ISACA, The Risk IT Framework, USA, 2009, www.isaca.org/riskit(consultado 29 Octubre 2010); Siemens Enterprise Communications Ltd, CRAMM:  CCTA Risk Analysis and Management Method, UK, 2009, http://www.cramm.com/downloads/datasheets.htm (consultado 29 Octubre 2010)
7 Etsbeth, V., Legal Implications of Information Security Governance, Master of Law thesis, unpublished, Law Faculty, University of Johannesburg, South Africa, 2009, http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837 (consultado 3 Octubre 2010)
8 Ibid. (sección resumen ejecutivo)
9 Cano, J., Integrando la Seguridad de la Información en la Estrategia Empresarial:  Una ReflexiónSsocio-técnica Para Enfrentar la Inseguridad, 2010, http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html(consultado 3 Octubre 2010)
10 Cano, J., Métricas en Seguridad de la Información:  Un Reto Permanente, 2010, http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (consultado 3 Octubre 2010)
11 Op cit, Etsbeth, capítulo 6
12 Jegousse, L., “Risk-based Approach to IT Systems Life Cycle and Change Control, ISACA Journal. 2010, no. 5, pág. 28
13 Rodriguez, C., “Seguridad de la Información: Estrategia Para Fortalecer el Gobierno Corporativo,” Revista de Derecho Privado, Junio 2010, no.43. Facultad de Derecho. Universidad de los Andes, http://derechoprivado.uniandes.edu.co/ (consultado 29 Octubre 2010)
14 Bagley, C. y Dauchy, C., The Entrepreneur’s Guide to Business Law, 3rd Edition. South Western College. Cengage Learning, USA, 2008, pág. 554
15 Op cit., Etsbeth, capítulo 8

Jeimy J. Cano M., Ph.D., CFC, CFE, CMAS
es miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho, Universidad de los Andes, Columbia; profesor distinguido de la misma Facultad; e ingeniero y magíster en Ingeniería de Sistemas y Computación de la Universidad de los Andes. Cano tiene Ph.D. in Business Administration, Newport University, California, USA; y Executive Certificate in Management and Leadership, MIT Sloan School of Management, Massachusetts, USA; profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners; y COBIT Foundation Certificate por ISACA. Cano es miembro del subcomité de publicaciones de ISACA. Contacto: jjcano@yahoo.com.


Enjoying this article? To read the most current ISACA® Journal articles, become a member or subscribe to the Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2011 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.