ISACA Journal
Volume 5, 2,016 

Translated Articles 

Una perspectiva crítica de los procesos de selección de controles 

Stefan Beissel, Ph.D., CISA, CISSP, PMP MAS 

Los controles se han convertido en una parte esencial de todos los entornos de TI. A medida que las empresas se vuelven más dependientes de la tecnología moderna, ellas también deben hacer frente a más vulnerabilidades, las que deben ser manejadas de manera eficiente. Sin embargo, la selección de un control adecuada puede ser un reto.

Los diversos atributos y tanta información preliminar como sea posible debiese ser considerada en el proceso de selección. Un proceso sistemático de revisión y técnicas de toma de decisiones ayudan a evitar verse forzado a dar justificaciones inoportunas basado en decisiones precipitadas y mala preparación. Las partes interesadas debiesen estar conscientes de los posibles problemas que pueden ocurrir durante el proceso de selección, incluyendo deficiencias en las técnicas de toma de decisiones empleadas. El proceso de selección puede también ser afectado por problemas imprevistos de costo, tiempo y calidad.

Durante la preparación, ejecución y control de calidad del proceso de selección de controles, se debe utilizar una perspectiva crítica para señalar posibles problemas.

Motivos

A veces, la selección de controles se basa en justificaciones erradas. Las causas de estas justificaciones son a menudo miedo, incertidumbre y duda. Algunos representantes de productos poco éticos, pueden incluso aumentar estas condiciones para hacer crecer sus ventas a través del uso de la desinformación sutil y subliminal. A menudo se hace referencia a fuentes neutrales, pero la importancia de la referencia es enormemente exagerada o es presentada en el contexto incorrecto. El resultado final puede ser una inversión costosa e inadecuada, y un control por debajo de lo óptimo.

Por otra parte, actuar de manera precipitada y la mala preparación puede llevar a una justificación errada. Si los administradores deben reaccionar rápido debido a amenazas severas, ellos pueden no disponer de la oportunidad para consultar con los expertos apropiados previo a realizar la decisión de invertir. En casos como este, las malas decisiones son muy comunes. Posteriormente, los gastos son altos sin generar el incremento de la seguridad esperada.

La mejor manera de evitar las malas justificaciones, es un proceso de selección de controles bien pensado, que involucre a los expertos. Para encontrar la protección más apropiada, el responsable de tomar la decisión debe ser capaz de evaluar varias medidas de seguridad e identificar y seleccionar la más adecuada. La selección de controles se basa en la evaluación de múltiples atributos cualitativos o cuantitativos. Por lo tanto, un proceso de selección debe cubrir la comparación de estos atributos y la evaluación de los controles existentes. Los atributos se ponderan de manera que la evaluación de los controles se puede realizar teniendo en cuenta la situación específica y características de la empresa.

Las ventajas de utilizar un proceso estructurado sobre un proceso no sistemático incluyen los siguientes:

  • El problema a ser resuelto debe ser definido antes de iniciar la evaluación.
  • La identificación y el uso de atributos facilitan la consideración de diferentes perspectivas dentro de la evaluación.
  • El proceso de selección se organiza a través de pasos claramente establecidos, y a su vez se subdivide en subpartes que lo componen.

La manera en que se compone el proceso de selección de controles, a nivel de detalle, dependerá de la compañía que desarrolla y utiliza el proceso. En general, un proceso estructurado incluye la preparación de la selección, el estrechamiento de la toma de decisiones y las actividades para el aseguramiento de la calidad (figura 1).

Cada fase del proceso de selección se puede describir como sigue:

  1. La fase de iniciación debiese estar basada en una razón sólida para la selección de un control específico, tomando en consideración la percepción de las partes interesadas sobre la seguridad de la información.
  2. La fase de patrocinio se utiliza para obtener la aceptación y el apoyo de la dirección ejecutiva y para seleccionar un patrocinador apropiado.
  3. El primer paso de la toma de decisiones, es definir el problema que va a ser resuelto por dicha decisión. Esta etapa apunta a obtener un entendimiento de aquellos elementos (por ejemplo, la estrategia, el alcance, los activos, los riesgos, la protección y los involucrados) que serán factores importantes en el proceso de toma de decisiones.
  4. Durante la identificación de atributos, el responsable de tomar la decisión debe considerar todos los atributos relevantes que serán utilizados para la evaluación de las alternativas de controles.
  5. Después, el responsable de tomar la decisión también debe determinar la importancia de cada atributo mediante la realización de una evaluación de atributos.
  6. La etapa de identificación de alternativas de controles, es un paso crucial y su resultado depende de la información que se puede obtener acerca de las alternativas disponibles, a través de la investigación de conocimiento en fuentes externas.
  7. La etapa de evaluación de alternativas, es necesaria para valorar las alternativas respecto a los atributos pertinentes, para así crear una clasificación de rangos posterior.
  8. Basándose en la clasificación, la mejor alternativa (la alternativa con el rango más alto) puede ser identificada.
  9. Documentar el proceso asegura que la toma de decisiones puede ser entendida por tercera partes, quienes luego pueden utilizar la documentación para obtener información sobre estos y reunir indicadores respecto de la corrección e integridad de las etapas realizadas.
  10. Una segregación en la etapa de aprobación, sobre todo por la alta dirección, agrega un control de calidad adicional, a objeto que los resultados del proceso no sean mal utilizados.

Técnicas de toma de decisiones

Cuando se ve enfrenta la necesidad de seleccionar entre alternativas de control que poseen múltiples atributos, las técnicas de toma de decisiones más comunes son: adición simple de ponderadores (SAW: Simple additive weighting)1 y el proceso analítico jerárquico (AHP: Analytic hierarchy process).2 Ambas técnicas se basan en la misma secuencia general:

  • Definir el problema.
  • Identificar y evaluar los atributos.
  • Identificar y evaluar las alternativas de control.
  • Seleccionar la mejor alternativa.

Las diferencias se encuentran en los cálculos realizados para las evaluaciones. SAW utiliza cálculos que se basan en evaluaciones independientes de cada atributo y alternativas de controles, mientras que AHP usa comparaciones por pares de dos atributos o alternativas a la vez. Dado que estas diferentes técnicas incluyen métodos de cálculo diferentes, las mismas alternativas de controles pueden conducir a resultados diferentes, por ejemplo, una alternativa podría ser la más adecuada cuando use SAW, pero sólo una segunda opción cuando se utiliza AHP. La evaluación de resultados si los puntajes de las alternativas de controles están cerca el uno al otro puede llevar a esta situación.

También existen otras técnicas de toma de decisiones en el campo científico, por ejemplo, el proceso analítico de red (ANP: Analytic network process), la técnica de preferencia de orden por la similitud con solución ideal (TOPSIS: Technique for order preferance by similarity to ideal solution) y el análisis envolvente de datos (DEA: Data envelopment analysis). Sin embargo, SAW y AHP proporcionan el mejor equilibrio entre una facilidad de comprensión y aplicación práctica para su uso en el sector empresarial.

Como la mayoría de las técnicas de toma de decisiones de múltiples atributos, SAW y AHP también vienen con desventajas potenciales que deben ser conocidas y, si es posible, evitar que sean incluidas:

  • Las técnicas pueden ser manipuladas de muchas maneras posibles. Debido a que se utilizan cifras precisas y métodos de cálculo, la objetividad puede ser falseada. Debido a la subjetividad general en la ponderación y evaluación de los atributos, el resultado puede ser afectado significativamente por manipulación no detectada. A pesar de que la subjetividad puede ser reducida mediante la inclusión de expertos, no puede ser eliminada. Además, el responsable de la toma de decisiones tiene libertad de elección con respecto a la selección de los atributos.
  • La adición de las diferentes evaluaciones implica la independencia de los atributos. Sin embargo, dependencias entre los atributos, tales como relaciones de competencia o complementarias, a menudo no se pueden evitar completamente. Por ejemplo, para un control, el nivel de protección y los servicios de soporte de un mismo vendedor, están a menudo estrechamente relacionados. En consecuencia, existe el riesgo de que los atributos con una dependencia fuerte conduzcan sin intención a una subvaloración o sobrevaloración de las alternativas de controles.
  • La mencionada adición de las evaluaciones también conduce a una suerte de sustitución de las diferentes calificaciones individuales. En particular, resultados parciales que se derivan de características muy malas de una alternativa de control pueden estar sustituidas con diferentes calificaciones de muy buenas características. Por lo tanto, los atributos individuales pueden ser ignorados. Incluso si los atributos se dividen en atributos de exclusión y de comparación, este problema se puede eliminar sólo parcialmente. Los atributos de comparación aún se ven afectados por una posible sustitución.
  • El resultado global puede ser objeto de nivelación. En este caso, es probable que las debilidades o puntos fuertes de la mejor alternativa de controles ya no sean reconocibles en el resultado. Cuantos más atributos se consideren, lo más probable es que los resultados estén posicionados en la región media de la gama de las posibles de las puntuaciones globales.
  • Debido a la evaluación de alternativas de control con atributos individuales, el problema general se desglosa en muchos problemas individuales. Esta descomposición es cuestionable, ya que, en primer lugar, el problema global ya no es claro y, en segundo lugar, existe el riesgo de que las evaluaciones de muchos problemas individuales conduzcan a una evaluación general indeseable. Si los atributos están en una relación de competencia entre sí, la mejora de una evaluación respecto a un único atributo puede conducir a la evaluación de otro atributo en competencia con un resultado inferior. Por ejemplo, la reducción de eventos falsos positivos en los sistemas de control de acceso biométrico a menudo conduce a un aumento de los eventos de falsos negativos.

Además de las desventajas particulares de las técnicas de toma de decisiones, pueden ocurrir dificultades generales durante la selección de unos controles. La empresa puede estar influenciada por el costo, el tiempo y los aspectos de calidad, mientras toma la decisión. Por ejemplo, la compañía podría centrarse en los costos de los controles y descuidar los costos del proceso de selección de controles. Varios eventos o actividades podrían ralentizar el proceso de selección por razones imprevistas y retrasar los planes de selección. Los errores y la información que es pasada por alto, pueden causar problemas de calidad en los resultados de la selección.

Problema de identificación

El resultado del proceso de selección debiese ser revisado de forma crítica, para encontrar cualquier indicación que implique problemas potenciales en el proceso. Sólo los resultados que están libres de errores y dudas evidentes deben ser aprobados y utilizados para la adquisición e implantación de los controles seleccionados. Entre otras cosas, los siguientes escenarios pueden indicar problemas en el proceso de selección:

  • La definición del problema, incluyendo los requerimientos de la estrategia y de protección, ha cambiado durante el proceso o no fue suficientemente analizado desde el principio. Por lo tanto, la alta dirección tiene que asumir que el resultado no satisface por completo el problema de fondo.
  • Las condiciones internas (por ejemplo, recursos y horarios) han sido pasados por alto o cambiado de modo que la solución recomendada en realidad no sería la mejor solución. Condiciones internas desfavorables también pueden dar lugar a importantes problemas en la aplicación.
  • Las condiciones externas (por ejemplo, las leyes, los estándares o las condiciones del mercado) han cambiado por lo que el proceso inicial de toma de decisiones ya no es preciso. Algunos factores ambientales pueden conducir a nuevos requerimientos en la planificación o posibles problemas en la adquisición, implementación y aplicación de los controles.
  • El proceso de toma de decisiones fue incorrecto o incompleto, lo que resulta en errores que pueden influir de manera significativa los resultados de la evaluación. Si un error esta relacionado con un atributo crítico, el ranking de las alternativas, incluso puede ser alterado. En este caso, la alternativa seleccionada no sería la mejor alternativa.
  • La documentación del proceso de toma de decisiones no es suficiente en lo que respecta al alcance y la calidad. Si la documentación es insuficiente o faltante, la alta dirección puede rechazar el resultado del proceso de selección.
  • El abuso de poder podría haber influido en el proceso de toma de decisiones. A menudo, este abuso puede legalmente ser categorizado como fraude, el cual es generalmente causado por la motivación, la justificación y la oportunidad, tal como se describe en el triángulo del fraude (figura 2)3. La evaluación de atributos es una de una serie de actividades que podrían haber sido explotados con abuso. La alta administración debiese ser consciente de las debilidades potenciales o medidas de control faltantes en el proceso de selección de controles. Las indicaciones de abuso deben ser tomadas en serio. Si el abuso parece haber afectado el resultado, la alta dirección debe rechazarla. Las indicaciones comunes para el abuso son discrepancias en los registros, evidencia en conflicto o falta de ella, y las relaciones problemáticas o inusuales entre las partes involucrados.4

Conclusión

Cada compañía está interesada en encontrar los controles más apropiados para proteger a la empresa de manera adecuada y costo-efectiva. Por lo tanto, el proceso de selección de controles es crucial y no debe basarse en justificaciones defectuosas. Un proceso estructurado que permite el manejo de múltiples atributos es preferible a actividades no sistemáticas.

Este proceso también debe ser apoyado con una técnica de toma de decisiones que sea manejable y ofrezca resultados transparentes y comprensibles. Sin embargo, las desventajas comunes como la posibilidad de sustitución, nivelación, y sobre o subvaluación, deben ser considerados. El proceso de selección en general puede caracterizarse por varios problemas, los cuales no siempre pueden evitarse y, por lo tanto, deben ser revisados permanentemente, sobre todo cuando se verifica el resultado del proceso. Algunos indicadores de estos problemas son, entre otras cosas, cambios importantes en la definición del problema, así como modificaciones de las condiciones internas o externas, errores, documentación insuficiente, y posibles actividades fraudulentas. Sobre todo, se puede mejorar en gran medida la selección de controles de una empresa, centrándose no sólo en la evaluación de las alternativas de controles, sino también en el examen crítico del proceso de selección en sí.

Notas Finales

1 Fishburn, P. C.; “Additive Utilities With Incomplete Product Set: Applications to Priorities and Assignments,” Operations Research, vol. 15, iss. 3, April 1967, p. 537–542
2 Saaty, T. L.; “How to Make a Decision: The Analytic Hierarchy Process,” Interfaces, vol. 24, December 1994, p. 19–43
3 Nimwegen, S.; Prevention and Identification of Fraud: Possibilities of Internal Corporate Governance Elements, dissertation, University of Münster, Westfalen, Germany, 2009
4 American Institute of Certified Public Accountants, “AU Section 316—Consideration of Fraud in a Financial Statement Audit,” USA, 2002, www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00316.pdf

Stefan Beissel, Ph.D., CISA, CISSP, PMP
Is a senior information security expert who has worked at international companies in the finance, banking and commerce sectors for nearly 15 years. He is the author of multiple books and journal articles and has trained and lectured professionals, undergraduate and graduate students on information security and related topics.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.