Servicios Seguridad

NewNet S.A. –Derechos Reservados 1

El Balanced Score Card como
herramienta de apoyo a la
Administración de la Seguridad
Activos de Información
Roberto Arbeláez, M.Sc., CISSP
Servicios Seguridad
NewNet S.A. –Derechos Reservados 2
Agenda
El papel de la alta
Gerencia en la
Organización
La seguridad de
Activos de
Información
El Balanced Score
Card como
herramienta
gerencial
Servicios Seguridad
NewNet S.A. –Derechos Reservados 3
Objetivos Estratégicos de la Alta Gerencia
Maximizar la rentabilidad
Maximizar la competitividad
Maximizar la productividad
Maximizar la calidad
Maximizar la participación en el mercado
Maximizar el crecimiento y la expansión de
la organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 4
Objetivos Estratégicos de la Alta Gerencia (2)
Maximizar y proteger los activos de la
organización
Minimizar los pasivos de la organización
Minimizar los costos
Minimizar el nivel de riesgo y exposición
de la organización
Garantizar la supervivencia futura de la
organización

Servicios Seguridad
NewNet S.A. –Derechos Reservados 5
La Misión de la Alta Gerencia es actuar
con la “Diligencia Debida” de manera que
se logren TODOS los objetivos.
Misión de la Alta Gerencia
Servicios Seguridad
NewNet S.A. –Derechos Reservados 6
Tareas de la Alta Gerencia
Planear Hacer
Controlar Actuar
Etapa de Formulación y
Ejecución
Etapa de
Seguimiento y
Control
Servicios Seguridad
NewNet S.A. –Derechos Reservados 7
La Información es un activo valioso de la
organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 8
La Infraestructura Computacional es un
activo valioso de la organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 9

La Alta Gerencia debe proteger los
activos de la organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 10

La Alta Gerencia debe minimizar el nivel
de riesgo y exposición de la organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 11
La Seguridad de activos de Información
es un componente fundamental de la
“Diligencia Debida” que debe practicar la
Alta Gerencia de la Organización
Servicios Seguridad
NewNet S.A. –Derechos Reservados 12
¿Qué es la Seguridad de activos de información?

La Seguridad de activos de información
es la implementación de políticas
dictadas por la Alta gerencia, respecto
a los activos de información de la
organización y a su infraestructura
computacional asociada
Servicios Seguridad
NewNet S.A. –Derechos Reservados 13
El Rol de la Alta Gerencia en la Seguridad de activos
de información
La Alta Gerencia dicta las políticas de Seguridad
respecto a los activos de información de la
organización y a su infraestructura asociada
El Área Técnica implementa las políticas dictadas
por la Alta Gerencia
La Alta Gerencia hace seguimiento y control para
garantizar que la adecuada implementación de sus
políticas
Servicios Seguridad
NewNet S.A. –Derechos Reservados 14
La Seguridad de activos de información y la Alta
Gerencia
La Alta Gerencia está encargada de dictar
las políticas para toda la organización
Es la que mejor conoce el negocio, la
organización y los objetivos misionales
Servicios Seguridad
NewNet S.A. –Derechos Reservados 15
La Seguridad de activos de información y la Alta
Gerencia (2)
Es la que sabe cuáles son los activos
importantes para la organización
Es la que debe decidir qué es lo que hay que
proteger, qué se debe proteger primero, y
hasta dónde se debe proteger (activos a
proteger, prioridad y alcance)

Servicios Seguridad
NewNet S.A. –Derechos Reservados 16
Problema # 1
La Alta Gerencia no sabe de Tecnología
Servicios Seguridad
NewNet S.A. –Derechos Reservados 17
Problema # 2
La Alta Gerencia no sabe de Seguridad
Servicios Seguridad
NewNet S.A. –Derechos Reservados 18
Problemática de la Alta Gerencia
¿Cómo planear y ejecutar el aseguramiento
de los activos de información de la
organización?
¿Cómo hacer segumiento y control de la
gestión en Seguridad de activos de
información en la organización?
Servicios Seguridad
NewNet S.A. –Derechos Reservados 19
Con Herramientas de Control Gerencial
Servicios Seguridad
NewNet S.A. –Derechos Reservados 20
Algunas Herramientas de Control Gerencial
Balanced Score Card (Gerencia Estratégica)
Análisis Sistémico de TI en la organización
(Cibernética Organizacional)
ROI (Return of Investment) en Seguridad de
Activos de Información (Análisis Financiero y de Viabilidad)
Auditoría de Seguridad de Activos de
Información (Auditoria)
Servicios Seguridad
NewNet S.A. –Derechos Reservados 21
Evolución de la Seguridad de Activos de Información
1970 1980 1990 2000
Gerencial
Técnico
Servicios Seguridad
NewNet S.A. –Derechos Reservados 22
Evolución de la Seguridad de Activos de Información (2)
1970 1980 1990 2000
Estratégico
Operativo
Servicios Seguridad
NewNet S.A. –Derechos Reservados 23
El Balanced Score Card
Servicios Seguridad
NewNet S.A. –Derechos Reservados 24
El Balanced Score Card fué desarrollado en
la Universidad de Harvard a principios de
los 90s por Robert Kaplan y David Norton
Servicios Seguridad
NewNet S.A. –Derechos Reservados 25
El Balanced Score Card Permite a las
organizaciones aclarar su visión y su
estrategia, traduciéndolas en acciones
específicas
Servicios Seguridad
NewNet S.A. –Derechos Reservados 26
El Balanced Score Card es una herramienta
de Gerencia Estratégica
Servicios Seguridad
NewNet S.A. –Derechos Reservados 27
Objetivos
 Garantiza que los procesos de aseguramiento
estén alineados con las metas y los objetivos
organizacionales.
 A través de indicadores de gestión, permite a la
alta gerencia medir el desempeño de los
procesos de aseguramiento.
 Permite que la seguridad se anticipe al entorno,
por medio de procesos de planeación
estratégica.
Servicios Seguridad
NewNet S.A. –Derechos Reservados 28
Balanced Score Card
Servicios Seguridad
NewNet S.A. –Derechos Reservados 29
Balanced Score Card
Permite evaluar el desempeño del sistema
de seguridad informática con respecto a los
objetivos estratégicos de la organización.

Servicios Seguridad
NewNet S.A. –Derechos Reservados 30
Balanced Score Card
Permite establecer estrategias para alinear el
sistema de seguridad informática con los
requerimientos impuestos por la estrategia
corporativa.


Servicios Seguridad
NewNet S.A. –Derechos Reservados 31
Balanced Score Card
Permite que la alta gerencia conozca el
desempeño interno del sistema de seguridad
informática, sin tener que “aprender” de
tecnología.

Servicios Seguridad
NewNet S.A. –Derechos Reservados 32
Balanced Score Card
Permite sustentar proyectos de inversión en
tecnología, a través de proyecciones de
mejoras en el desempeño del sistema de
seguridad.

Servicios Seguridad
NewNet S.A. –Derechos Reservados 33
Balanced Score Card
Permite mostrar un “retorno a la inversión”
a la alta gerencia, a través de mejoras en el
desempeño del sistema de seguridad,
cuando se hayan hecho inversiones en
infraestructura de seguridad.

Servicios Seguridad
NewNet S.A. –Derechos Reservados 34
¿Cómo se ve en 5 años?
Servicios Seguridad
NewNet S.A. –Derechos Reservados 35
Perspectivas
La proyección a 5 años, para que sea completa, debe hacerse
desde diferentes perspectivas

Profesional
Personal
Sentimental
Familiar
Financiero
Académico
Físico
…
Servicios Seguridad
NewNet S.A. –Derechos Reservados 36
Perspectivas del Balanced Score Card
Servicios Seguridad
NewNet S.A. –Derechos Reservados 37
¿Cómo medir el estado en las diferentes perspectivas?
Se escoge una perspectiva
Se especifica donde se quiere estar (Meta)
Se define dónde se está por medio de un
procedimiento, fórmula matemática,
medición, o un conjunto de los anteriores
(Indicador de gestión)
Servicios Seguridad
NewNet S.A. –Derechos Reservados 38
Indicadores e Índices de gestión
Indicadores: Herramienta que mide el
desempeño de la gestión en una faceta
determinada
Índices: Estado del indicador respecto a la
meta
Í ndice = I ndicador / Meta

Servicios Seguridad
NewNet S.A. –Derechos Reservados 39
Aplicando el BSC
Se define qué es lo importante
Se generan indicadores de gestión que permitan
medir el estado actual respecto a lo importante.
Se definen metas para cada indicador, generando
así índices de gestión
Se genera un plan de trabajo para llevar los
indicadores de gestión a la meta
Se hace un seguimiento mide contínuo de la
variación en los indices de gestión
Servicios Seguridad
NewNet S.A. –Derechos Reservados 40
Balanced Score Card como herramienta de Diagnóstico
¿Cómo debería estar la seguridad en mi
organización?

Conjunto de requerimientos de seguridad que deberían satisfacerse

¿Cómo está la seguridad en mi organización?

Conjunto de requerimientos que están satisfechos
Servicios Seguridad
NewNet S.A. –Derechos Reservados 41
¿Qué se obtiene del Diagnóstico?
Un listado de requerimientos no satisfechos,
que se deben satisfacer para lograr llegar al
estado deseado en Seguridad
Un plan para lograr llegar a ese estado
deseado
Indicadores para medir y controlar la
evolución de los procesos de aseguramiento
Servicios Seguridad
NewNet S.A. –Derechos Reservados 42
¿Cómo está la seguridad en mi organización?
Conjunto de requerimientos que están satisfechos

¿Cómo estará la organización en 5 años?
Conjunto de requerimientos nuevos que generará el negocio
en 5 años

¿Cómo debería estar la seguridad en 5 años?
Conjunto de requerimientos que deberían satisfacerse en 5
años

Balanced Score Card como herramienta de Planeación
Estratégica
Servicios Seguridad
NewNet S.A. –Derechos Reservados 43
¿Qué se obtiene de la Planeación Estratégica?
Un listado de requerimientos futuros, que se
deben satisfacer en 5 años para lograr llegar
al estado deseado futuro en Seguridad
Un plan para lograr llegar a ese estado
deseado futuro
Indicadores para medir y controlar la
evolución de la seguridad en el tiempo
Servicios Seguridad
NewNet S.A. –Derechos Reservados 44
El Balanced Score Card como herramienta de control
Gerencial
¿Cómo estaba el área de seguridad en el
diagnóstico inicial?
¿Cómo está ahora?
¿El cambio ha sido positivo?
¿El cambio se ha realizado dentro del
tiempo previsto?
¿Cómo debe estar en unos años?
Servicios Seguridad
NewNet S.A. –Derechos Reservados 45
Las Perspectivas del BSC
Servicios Seguridad
NewNet S.A. –Derechos Reservados 46
BSC: Perspectiva Financiera
La pérdida de confidencialidad, integridad o
disponibilidad puede tener un impacto financiero
significativo en la organización
La pérdida de imagen organizacional puede tener
un impacto enorme en las relaciones con la
coopetencia, clientes y proveedores,
perjudicando los indicadores financieros de la
organización
Los entornos interconectados y el e-business
generan responsabilidades compartidas con la
coopetencia, los clientes y/o los proveedores

Servicios Seguridad
NewNet S.A. –Derechos Reservados 47
Ejemplos de indicadores de la Perspectiva Financiera
Costo de horas/hombre destinadas a atender incidentes de seguridad
informática
Costo de pérdida de productividad por la no disponibilidad del sistema
de información
Costo de volver a levantar y a digitalizar información perdida por
incidentes de seguridad
Costo de imagen organizacional perdida por incidentes de seguridad
informática
Costo de negocios perdidos por desconfianza de clientes por incidentes
de seguridad informática
Costos por demandas de responsabilidad civil por daños y perjuicios
sobre la información de coopetencia, clientes o proveedores
Servicios Seguridad
NewNet S.A. –Derechos Reservados 48
BSC: Perspectiva del Consumidor
Los consumidores de “seguridad” son la
coopetencia, los clientes, los proveedores, y los
empleados de la organización
Una percepción positiva de la seguridad por parte
de los consumidores internos aumenta la
productividad y mejora el ambiente de trabajo
Una percepción positiva de la seguridad por parte
de los consumidores externos fortalece la
confianza y facilita las relaciones
Servicios Seguridad
NewNet S.A. –Derechos Reservados 49
Ejemplos de indicadores de la Perspectiva del
Consumidor
Percepción de la confiabilidad de los
sistemas de información de la organización
Percepción de la seguridad de los sistemas
de información de la organización
Percepción de la complejidad de interactuar
con los sistemas y dispositivos de control

Servicios Seguridad
NewNet S.A. –Derechos Reservados 50
BSC: Perspectiva de procesos internos del negocio
Permite identificar los procesos internos críticos en los
cuales la organización debe ser exitosa.

En el caso del sistema de seguridad informática, la
prioridad es que los procesos internos sean eficientes, y
satisfagan por completo los requerimientos de sus
“consumidores”

Esto permitirá atraer clientes para los cuales la seguridad
informática de la empresa es importante, y mejorar los
resultados financieros por optimización en la utilización de
recursos.
Servicios Seguridad
NewNet S.A. –Derechos Reservados 51
Ejemplos de indicadores de la Perspectiva de Procesos
Internos de Negocio
Equilibrio entre Productividad y Seguridad
Eficiencia de los controles y dispositivos de
seguridad



Servicios Seguridad
NewNet S.A. –Derechos Reservados 52
Perspectiva de aprendizaje y crecimiento

Permite evaluar si la organización aprende de errores e incidentes
pasados y evita volver a cometerlos

Permite evaluar si las características del sistema de seguridad
informática pasadas y presentes lo hacen adecuado para afrontar
condiciones futuras.

Permite definir requerimientos futuros que se deben cumplir para
lograr los objetivos y estrategias organizacionales

Define cómo usar las experiencias pasadas (y la información obtenida
de ellas) para aprender y mejorar el desempeño futuro.
Servicios Seguridad
NewNet S.A. –Derechos Reservados 53
Ejemplos de indicadores de la Perspectiva de
Aprendizaje y Crecimiento
Ocurrencias de Incidentes que ya se habian
presentado, sobre el total de incidentes
Incidentes solucionados con base en la
documentación de incidentes anteriores



Servicios Seguridad
NewNet S.A. –Derechos Reservados 54
Perspectiva de responsabilidad social
Permite evaluar si la organización está cumpliendo con los
compromisos que son asumidos de manera intrínseca por
todo miembro de la sociedad, ya sea persona natural o
jurídica.

Va mucho más allá de cumplir con la ley, y tiene claras
connotaciones éticas y morales.

Podría considerarse una obligación moral el asegurar un
sistema de información para evitar que sea usado como
plataforma de ataques contra terceros.
Servicios Seguridad
NewNet S.A. –Derechos Reservados 55
Ejemplos de indicadores de la Perspectiva de
Responsabilidad Social
Ocurrencias de distribución de spam desde
los servidores de correo de la organización
Ocurrencias de propagación de virus desde
la infraestructura de la organización
Ataques de Negación de Servicio a terceros
desde la infraestructura organizacional
Penetración de sistemas de terceros desde la
infraestructura organizacional



Servicios Seguridad
NewNet S.A. –Derechos Reservados 56
Conclusiones
Al aplicar el BSC, se garantiza que
 La seguridad informática va a estar alineada
con los requerimientos de la organización
 El nivel de aseguramiento informático se
mantendrá adecuado a lo largo del tiempo
 La alta gerencia podrá hacer un control de
gestión de la seguridad informática

Servicios Seguridad
NewNet S.A. –Derechos Reservados 57
Conclusiones
La Seguridad es parte de las
responsabilidades de la Alta Gerencia.
La gerencia requiere de la implementación
de herramientas de control gerencial para
poder desempeñar sus funciones de manera
adecuada
El BSC es una herramienta que permite
gerenciar la seguridad en la organización

Servicios Seguridad
NewNet S.A. –Derechos Reservados 58
Preguntas
y
Comentarios