Current Situation

cuenta las siguientes restricciones:

Restricciones de tiempo

Pueden existir muchos tipos de restricciones de tiempo. Por ejemplo, se debe implementar controles dentro de un período aceptable para los gerentes de la organización. Otro tipo de restricción de tiempo es si se puede implementar un control dentro del tiempo de vida de la información o sistema. Un tercer tipo de restricción de tiempo puede ser el período que los gerentes de la organización deciden que es un período aceptable para exponerse a un riesgo en particular.

Restricciones financieras

Los controles no deben ser más caros de implementar o mantener que el valor de los riesgos que van a proteger, excepto donde el cumplimiento sea obligatorio (por ejemplo con la legislación). Se debe hacer todos los esfuerzos para no exceder presupuestos asignados y lograr ventaja financiera a través de los controles. Sin embargo, en algunos casos puede no ser posible lograr la seguridad deseada y el nivel de aceptación del riesgo debido a las restricciones del presupuesto. Por lo tanto, esto se convierte en una decisión de los gerentes de la organización para la resolución de esta situación.

Se debe tener mucho cuidado si el presupuesto reduce el número o calidad de los controles a implementarse ya que esto puede llevar a la retención implícita de un mayor riesgo del que se había planeado. El presupuesto establecido para los controles debe utilizarse como un factor limitante solamente con mucho cuidado.

 NORMA TÉCNICA NTP-ISO/IEC 27005

PERUANA 93 de 95

Restricciones técnicas

Se puede evitar fácilmente problemas técnicos como la compatibilidad de los programas o de hardware si se toman en cuenta durante la selección de controles. Además, a menudo las restricciones técnicas retrasan la implementación retrospectiva de controles a un proceso o sistema existente. Estas dificultades pueden mover el equilibrio de controles hacia los aspectos de procedimiento y físicos de la seguridad. Puede ser necesario revisar el  programa de seguridad de la información para lograr objetivos de seguridad. Esto puede ocurrir cuando los controles no satisfacen los resultados esperados en la reducción de riesgos sin reducir la productividad.

Restricciones operativas

Las restricciones operativas como la necesidad de operar 24 horas al día por 7 días a la semana requiere realizar respaldos y puede resultar en una implementación de controles compleja y costosa salvo que estén incorporados en el diseño desde el inicio.

Restricciones culturales

Las restricciones culturales a la selección de controles pueden ser específicas a un país, un sector, una organización o incluso un departamento dentro de una organización. No se  puede aplicar todos los controles en todos los países. Por ejemplo, puede ser posible

implementar búsquedas en carteras en partes de Europa, pero no en partes de Medio Oriente. Los aspectos culturales no se pueden ignorar porque muchos controles se basan en el apoyo activo del personal. Si el personal no comprende la necesidad del control o no lo encuentra culturalmente aceptable, el control se hará ineficaz con el tiempo.

Restricciones éticas

Las restricciones éticas pueden tener implicaciones importantes sobre los controles ya que la ética cambia en base a las normas sociales. Esto puede impedir la implementación de controles como el escaneo de correos electrónicos en algunos países. La privacidad de la información también puede cambiar dependiendo de la ética de la región o del gobierno. Esto puede preocupar más en algunos sectores industriales que en otros, por ejemplo el gobierno y la atención de salud.

 NORMA TÉCNICA NTP-ISO/IEC 27005

PERUANA 94 de 95

Restricciones ambientales

Los factores ambientales pueden influir la selección de controles como la disponibilidad de espacio, las condiciones climáticas extremas, la geografía natural y urbana circundantes. Por ejemplo, se puede requerir en algunos países que las construcciones sean anti-sísmicas,  pero esto será innecesario en otros.

Restricciones legales

Los factores legales como la protección de los datos personales o las disposiciones del código penal para el procesamiento de la información pueden afectar la selección de controles. El cumplimiento legislativo regulatorio puede obligar a ciertos tipos de control incluyendo la protección de datos y la auditoria financiera. También pueden impedir el uso de algunos controles, por ejemplo la encriptación. Otras leyes y regulaciones como la legislación de las leyes laborales, el departamento de bomberos, la salud y la seguridad, así como las regulaciones del sector económico, etc. podrían afectar también la selección de controles.

Facilidad de uso

Una mala interfaz humano-tecnología resultará en error humano y puede hacer que el control sea inútil. Los controles deben seleccionarse para proveer facilidad óptima de uso a la vez que se logra un nivel aceptable de riesgo residual al negocio. Los controles que son difíciles de usar impactarán su eficacia, ya que los usuarios pueden tratar de evitarlos o ignorarlos tanto como sea posible. Los controles de acceso complejo dentro de una organización pueden alentar a los usuarios a encontrar métodos de acceso alternativos y no autorizados.

Restricciones del personal

El costo de la disponibilidad y de los salarios de personal especializado para implementar los controles y la capacidad de movilizar personal entre lugares en condiciones operativas adversas es algo que debe considerarse. Es posible que los expertos no estén disponibles de inmediato para implementar controles planificados o que dichos expertos sean demasiado costosos para la organización. Otros aspectos que pueden tener implicaciones importantes  para las políticas y prácticas de seguridad son la tendencia de cierto personal de discriminar