domingo, 13 de diciembre de 2009

Inseguridad de la información en 2010

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y disímil, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.


Considerando lo anterior y con la alta probabilidad de andar por sendas poco conocidas, trataremos de hacer una visión hacia adelante sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales de los eventos que se han manifestado hasta el momento y prometen seguir en el 2010.


A continuación cinco predicciones de lo que puede pasar durante 2010 en temas de inseguridad de la información.


1. Tormentas en la nube

Nuestra huella digital (datos que nosotros mismos generamos en sitios web, redes sociales, blogs, entre otros) (IDC REPORT 2008) cada vez es más amplia y visible. Ahora en un contexto de computación en la nube, donde tenemos una visión distribuida y de multiservidores virtualizados, es posible tener una sombra digital (información sobre nosotros) cada vez más extendida, difusa y muchas veces distorsionada, que impacte directamente los temas de seguridad y privacidad tanto de los datos como de la información.


Ante esta realidad, que de acuerdo con un estudio reciente de IDC, se espera que la inversión en este tipo de servicios crezca un 27% para 2012, es decir una inversión de 42 billones de dólares, (MATHER, T., KUMARASWANY, S. y LATIF, S. 2009, pág.10) es evidente que iniciativas como la de la Cloud Security Alliance animen las reflexiones y discusiones de las diferentes implicaciones de este tipo de tendencias que pone de manifiesto una computación basada en servicios de infraestructura, plataforma y aplicaciones.


2. Inseguridad móvil: equipos, datos e información

La realidad de los dispositivos móviles es contundente. Las cifras manejadas por Canalys (2009) sobre el mercado de teléfonos inteligentes donde se muestra un crecimiento de 4% año con año de estos dispositivos, llegando a una cifra de 41.4 millones de unidades en el tercer cuarto de 2009, así como el despacho de estas unidades con servicios integrados como GPS y WI-FI, nos muestran que habrá mayores elementos que analizar y proteger en la computación móvil.


Esta tendencia sumada al hecho que no se cuentan con adecuadas medidas de aseguramiento y control en este tipo de dispositivos (MAISTO 2009), nos abre un panorama bastante inestable y exigente para mantener el nuevo perímetro extendido de las organizaciones. Adicionalmente, la tendencia creciente del uso de memorias o dispositivos USB (más de 860 millones de unidades despachadas en 2007, considerando un crecimiento de 15% para 2010 según estudio reciente de Gartner – JUNGO 2009), se mantiene y extiende la alerta de fuga y pérdida de información en las organizaciones, lo que implica un ejercicio estratégico de los responsables de la seguridad de la información por incorporar prácticas de aseguramiento de información adecuadas con los flujos de información de negocio.


3. Cultura de la inseguridad: Desobediencia del factor humano

Considerando las reflexiones efectuadas por Furnell y Thomson (2009) en su documento de febrero de 2009 sobre la desobediencia de los usuarios para aceptar las medidas de seguridad de la información, es claro que las estrategias de sensibilización e interiorización de la seguridad, sigue siendo un reto importante para las áreas de seguridad de la información.


Mientras la seguridad de la información siga siendo un elemento externo la cultura de la organización, que no se contemple como parte fundamental de los procesos de negocio, basado en los flujos de información articulados en las soluciones de tecnología y adicionalmente, se advierta como “algo” que hay que cumplir por regulación o mandato normativo, las iniciativas de seguridad de la información serán objeto de apatía, desobediencia y resistencia. En este contexto, se genera un campo abonado para que la inseguridad riegue con serenidad sus nuevas semillas, esperando sin mayores contratiempos que nuevas manifestaciones hagan su aparición tanto en la tecnología, como en los procesos y las personas.


4. Nuevos retos, nuevas habilidades: Ciberseguridad, forensia y administración de riesgos

Ante una realidad de tecnologías de información y comunicaciones basadas en temas como computación en la nube, tecnologías convergentes, movilidad, perímetros porosos y plagas informáticas extendidas (redes sociales y teléfonos inteligentes), se requiere que los profesionales de la seguridad de la información desarrollen nuevas habilidades (GUPTA 2009, FIELD 2009) que permitan enfrentar esta realidad y apalancar las mismas en una cultura de seguridad de la información que genere una “barrera” importante para los atacantes y sus pretensiones.


La administración de riesgos, ya no es un ejercicio corporativo o específico efectuado para validar un contexto específico de un tema, tecnología o proceso, sino una competencia organizacional de cada uno de los individuos, que permita mantener un nivel de riesgos conocido, basado en prácticas confiables de administración de activos de información. De manera complementaria, dichas prácticas confiables, deberán estar como valores en uso (en todos los individuos de la organización) que muestren una relación adecuada con los servicios expuestos en internet y la información que se comparten allí.


Finalmente y no menos importante, cuando se materializa una falla de seguridad o peor aún, se hace evidente un fraude, se requiere que este profesional cuente con las habilidades requeridas para identificar, recoger, analizar y presentar los elementos materiales probatorios que sustenten las pruebas requeridas ante procesos jurídicos que se deriven de la atención de incidentes o actos ilegales. (CANO 2009) Esto no es otra cosa, que se cuente con destrezas propias de la computación forense que permitan avanzar rápidamente en la contención y análisis de lo ocurrido.


5. Las bases de datos: “la joyas de la corona en jaque”

El almacenamiento de los datos e información siempre es materia de análisis y revisiones en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ESG RESEARCH 2009), sobre las bases de datos, nos muestra que un alto porcentaje de ellas dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, de acuerdo con la información, generalmente catalogada como confidencial, que permanece en ellas.


Así las cosas, la fuente principal, el insumo básico para el funcionamiento de las organizaciones y sus procesos de toma de decisiones, se encuentra en una ruta de malas prácticas y procesos poco automáticos que hacen encender las alarmas de los responsables de la seguridad de la información, para iniciar un proceso de aseguramiento que permita ajustar un paso más en su estrategia metodológica de defensa en profundidad.


Si bien esta tendencia en las bases de datos no es nueva, a lo que si apunta esta predicción, es a advertir que no es posible seguir aplazando este proceso de aseguramiento, de integración con las características de seguridad de las aplicaciones y por qué, no parte inherente y fundamental de la arquitectura de tecnología de información y comunicaciones de las compañías.


Referencias

CANALYS (2009) Smart phone market shows modest growth in Q3. Disponible en: http://www.canalys.com/pr/2009/r2009112.htm (Consultado: 13-Dic-2009)

ESG RESEARCH (2009) Frightening database security realities. Disponible en: http://www.guardium.com/assets/PDF/Databases_at_Risk_An_ESG_Research_Brief_Compliments_of_Guardium_2009-_09.pdf (Consultado: 12-Dic-2009)

GUPTA, U. (2009) The future of Information Security Profession. Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1997&opg=1 (Consultado: 13-Dic-2009)

FIELD, T. (2009) Core security skills: What’s required in 2010? Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1976&opg=1 (Consultado: 13-Dic-2009)

JUNGO (2009) USB Market Overview. Disponible en: http://www.jungo.com/st/usb_market.html (Consultado: 13-Dic-2009)

MAISTO, M. (2009) Enterprise cell phone security is lacking, say report. Disponible en: http://www.eweek.com/c/a/Mobile-and-Wireless/Enterprise-Cell-Phone-Security-Is-Lacking-Says-Report-757731/ (Consultado: 13-Dic-2009)

IDC REPORT (2008) The diverse and exploding digital universe. Disponible en: http://www.emc.com/collateral/analyst-reports/diverse-exploding-digital-universe.pdf (Consultado: 13-Dic-2009)

Sin autor. (2009) Horóscopo 2010 para la seguridad informática. Disponible en: http://www.redusers.com/horoscopo-2010-para-la-seguridad-informatica (Consultado: 12-Dic-2009)

FURNELL, S. y THOMSON (2009) From culture to disobedience: Recognising the varying user acceptance of IT Security. Computer Fraud & Security. February.

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

MATHER, T., KUMARASWANY, S. y LATIF, S. (2009) Cloud security and privacy. An enterprise perspective on risks and compliance. O’Really.

domingo, 22 de noviembre de 2009

Fraude y Fuga de Información: Inseguridad en dos sectores críticos

Luego de revisar múltiples documentos relacionados con riesgos en el área de tecnología, considerar los conceptos relacionados con las “sorpresas predecibles” y verificar en la práctica la pertinencia de los mismos en la gerencia moderna de las tecnologías de información y las comunicaciones – TICS, no es aventurado considerar que la administración de riesgos es una competencia que todo aquel que desee diferenciarse en la práctica de su profesión en el siglo XXI, debe desarrollar y afianzar.

En este contexto, revisando la práctica de la administración de riesgos en dos industrias, como la financiera o bancaria, así como en la industria de la energía (particularmente la del petróleo), se advierten riesgos propios y claves donde la tecnología juega un papel fundamental en el entendimiento de cada uno de éstos sectores.

Mientras en la banca, el riesgo o motivador fundamental de la administración de riesgos es el fraude, es decir, “esa conducta que busca engañar a un tercero, buscando un beneficio propio”, en la industria del petróleo es la fuga de información, esa “acción deliberada y consciente para liberar información de carácter estratégico o sensible, que debilita la posición estratégica de una organización”. Los dos riesgos enumerados, demuestran ampliamente que cada sector requiere estrategias diferentes para hacer que sus negocios funcionen de la mejor forma y generen valor para sus accionistas.

En este escenario, la TICS juegan un papel fundamental, bien para apalancar una estrategia de seguridad y control que limite la materialización de un fraude o la fuga de la información, o bien para ser herramienta facilitadora de los mismos. Sin embargo, es de anotar, que para el tratamiento de cualquiera de los dos riesgos identificados, las solas TICS no son suficientes, por lo cual se requiere una visión holística que permita integrar las múltiples variables que permitan comprender las interrelaciones de las personas, la tecnología y los procesos, para así visualizar acciones que permitan confrontar dichos riesgos.

Las TICS como facilitadores del fraude establecen y advierten una serie de características que, de una u otra forma, son prácticas inadecuadas que potencian que dicho riesgo se haga realidad. Cuando contamos con una plataforma tecnológica que desconoce la segregación funcional, el principio del menor privilegio, la aceptación psicológica del control, la defensa en profundidad, un diseño abierto, una postura de falla segura y la sencillez en la implementación, estamos abonando el terreno para que la inseguridad de la información se haga presente y tenga múltiples espacios para sorprendernos y así, dejar en evidencia, que nos falta comprender mejor las TICS y sus relaciones, así como los flujos de información en los procesos de negocio.

Cuando de caracterizar la fuga de información a través de tecnologías de información y comunicaciones, la situación no mejora; se hace evidente que la información, si bien, es un activo fundamental para la organización, ésta afirmación no se hace efectiva en las prácticas de seguridad en cada uno de sus procesos de negocio. La información como activo base de la movilización y decisiones de la organización es una realidad que enfrenta múltiples enemigos que buscan hacerla presa de la incertidumbre, la imprecisión, la no disponibilidad, la pérdida de sus principios: confidencialidad, integridad y disponibilidad, que en últimas demuestran los exigentes comportamientos que tanto tecnología, como procesos y personas deben asumir para mitigar, transferir y asumir frente dichos enemigos.

Tanto el fraude como la fuga de información, son realidades que están apalancadas en aplicación sistemática de malas prácticas, que llevan indefectiblemente a las organizaciones al escenario de los incidentes, los cuales deben ser identificados, clasificados, valorados e investigados (cuando la situación lo amerite y valoración lo establezca) de cara a reconocer que debemos continuar aprendiendo de lo que ocurre y claro está, evitar que la misma conducta o condición se haga evidente.

Por tanto, cuando reconozcamos que la inseguridad de la información debe ser nuestra maestra y compañera, cuando hagamos evidente en nuestras valoraciones de riesgo, que el riesgo residual siempre estará latente y deberá ser monitoreado, sólo hasta ese momento podremos tener una postura vigilante y un mínimo de paranoia administrada, que sea la base de nuestra estrategia de defensa, que no es más que el mejor ataque contra la ágil, despierta y siempre activa inseguridad.

Otras fuentes de información:
http://www.acsac.org/secshelf/papers/protection_information.pdf
http://newsroom.cisco.com/dlls/2008/prod_111208.html
http://www.acfe.com/documents/managing-business-risk.pdf

domingo, 25 de octubre de 2009

Inseguridad en la Nube: Retos y riesgos

En el documento elaborado por la Cloud Security Alliance - CSA (http://www.cloudsecurityalliance.org/guidance/csaguide.pdf) se establecen una serie de características y variables a tener en cuenta cuando se trata de aplicar una estrategia de computación en la nube, de tal manera que le permita a los analistas de riesgos revisar cada uno de ellos y evaluar en el contexto de cada organización lo pertinente para decidirse o no con una estrategia de computación en la nube.

El documento establece quince (15) dominios de acción para considerar los aspectos de seguridad de la computación en la nube:

• Marco arquitectónico de la computación en la nube
• Gobierno y administración de riesgos empresariales
• Consideraciones legales
• Descubrimiento electrónico (electronic discovery)
• Cumplimiento y auditoría
• Administración del ciclo de vida de la información
• Portabilidad e interoperabilidad
• Seguridad tradicional, continuidad de negocio y recuperación ante desastres
• Operaciones de centros de cómputo
• Respuesta a incidentes, notificación y remediación
• Seguridad en aplicaciones
• Cifrado y administración de llaves
• Administración de la identidad y el acceso
• Almacenamiento
• Virtualización


A continuación una breve explicación del alcance de cada una de las categorías establecidas en el documento de la CSA.

Marco Arquitectónico de la Computación en la Nube
Es este domino se establecen las definiciones propias de la computación en la nube, que define este paradigma de servicios computacionales como una colección distribuida de servicios, aplicaciones, información e infraestructura compuesta de múltiples recursos de tecnología de información como redes, información, servidores y recursos de almacenamiento, los cuales son orquestados, aprovisionados, implementados y configurados utilizando un modelo de demanda, basado en la localización de los recursos y las tasas de consumo de éstos.

Gobierno y Administración de Riesgos Empresariales
Dado que en el contexto de la computación en la nube la participación de un tercero es factor fundamental de la estrategia, la gestión de riesgos requerida para este caso solicita un análisis cuidadoso de la debida diligencia del proveedor, los acuerdos de nivel de servicio que se requieren, las consideraciones legales de propiedad de los datos, la jurisdicción aplicable, los aspectos de continuidad de negocio, resolución de conflictos, entre otros temas que ofrezcan a la organización que esté pensando en esta opción, valorar con claridad los riesgos claves de esta opción.

Consideraciones Legales
En este aspecto las organizaciones deben estar atentas para revisar entre otros aspectos las obligaciones de cumplimiento regulatorio propias de la organización (como de otros países) y cómo esta son asumidas por el proveedor de servicios en la nube; analizar las implicaciones de la localización de los datos, los elementos de protección de la privacidad de los datos de clientes y empleados de la empresa, los usos secundarios de la información almacenada en la infraestructura del proveedor, el manejo de las brechas de seguridad que se presenten, el aseguramiento de los planes de continuidad de negocio, la respuesta a los posibles litigios donde se solicite información corporativa disponible en la nube, los elementos del monitoreo de los servicios contratados en la nube y los elementos concretos de terminación del contrato con el proveedor.

Descubrimiento Electrónico
Este elemento llama la atención de mantener unas buenas prácticas de seguridad de la información por parte del proveedor de servicios, de tal forma que la evidencia informática o electrónica materializada en los registros de la operación de la empresa sea auténtica y confiable como evidencia. Esto implica que el cliente deberá asegurar en los acuerdos de nivel de servicio, la custodia y control de la información de la empresa alineada con los estándares de autenticidad y confiabilidad requeridos por su cliente y propios del contexto legal de su empresa y país.

Cumplimiento y Auditoría
Si bien no es evidente asegurar aspectos de cumplimiento y revisión por parte de terceros en la nube, ciertamente es posible adelantar un programa de evaluación que mantenga un monitoreo y revisión de las consideraciones de seguridad y control requeridas frente a las buenas prácticas y el marco normativo vigente. Para ello, se sugiere a nivel contractual, dejar la posibilidad abierta para que la empresa contratante pueda adelantar ejercicios de auditoría o verificación que considere convenientes.

Administración del Ciclo de Vida de la Información
Adicional a los pasos naturales del ciclo de vida de la información: creación, clasificación, transporte, almacenamiento, recuperación y disposición, en la estrategia de computación en la nube se deben considerar aspectos como:
• El nivel de controles lógicos y físicos que deben estar diseñados en el sitio de almacenamiento
• La validación de la integridad de los datos que soportan la información
• La identificación y control de acceso del persona a los datos
• Los términos del servicio relacionados con el control y revelación de información sensible
• Los requisitos de privacidad
• Los elementos de recuperación y respaldo
• Los tiempos de retención de los datos y su destrucción posterior
• La respuesta a solicitudes de información por parte de terceros autorizados
• El tránsito o transmisión de información entre países
• La validez y continuidad del proveedor de servicios en la nube

Portabilidad e Interoperabilidad
Esta variable nos habla sobre la calidad del proveedor de servicios en la nube, de la capacidad de manejo de sus recursos computacionales y la migración interna de ambientes o nubes que éste tenga configuradas al interior de su arquitectura de tecnologías de información. Así mismo, nos exige revisar los temas de recuperación ante desastres y capacidad de restauración del servicio de acuerdo con los niveles de servicio previstos.

Seguridad Tradicional, Continuidad de Negocio y Recuperación Ante Desastres
El reto en esta sección es identificar las interdependencias de la infraestructura que conforma la nube, cómo se integra y soporta de manera dinámica y de acuerdo con la demanda. Aún cuando los servicios en la nube requieren de elementos de seguridad tradicional y el cumplimiento de sus fundamentos (confidencialidad, integridad, disponibilidad, no repudio, autenticación, autorización y auditabilidad), los conceptos de continuidad de negocio y recuperación ante desastres son requerimiento fundamentales de la protección de los servicios.

Operaciones de Centros de Cómputo
Los clientes de proveedores en la nube, deben con frecuencia validar el nivel de maestría de éste en el soporte de sus servicios. Esto es someterlo a evaluaciones periódicas de la gestión del servicio prestado, la presencia de ambientes pilotos de pruebas para soportar cambios y nuevos productos, validación de la segregación de funciones y ambientes para cada uno de los clientes del proveedor, el nivel de la administración de parches de la infraestructura, así como el nivel de las evaluaciones efectuadas por terceros a la gestión de sus servicios.

Respuesta a Incidentes, Notificación y Remediación
Este aspecto exige de los proveedores de la nube la responsabilidad de la identificación y notificación del incidente, con la opción preferente de remediación de un acceso no autorizado a los datos generados por una aplicación. En este sentido, el análisis del incidente puede adquirir un significado y acciones diferentes dependiendo de los requerimientos de ubicación del usuario de la aplicación. Por lo tanto, la atención de incidentes, si bien podrá seguir lo establecido por los discursos metodológicos existentes al respecto, deberá tener en cuenta el contexto del país donde se materializa o se ubica el usuario.

Seguridad en Aplicaciones
En este punto decisiones como dónde deben ser desarrolladas o ejecutadas las aplicaciones son las que se deben tomar, dado el modelo de entrega de las mismas en una plataforma particular. Adicionalmente, se debe dar respuesta a preguntas como:
• ¿Qué controles deben tener las aplicaciones tanto dentro de su diseño, como en la nube?
•¿Qué tanto debe cambiar el modelo de desarrollo de software para acomodarse a la computación en la nube?

Cifrado y Administración de Llaves
De acuerdo con el autor del documento en el concepto de computación en la nube no es clara la definición de perímetro de seguridad, dado que los componentes y sus localizaciones varían según la demanda. En este contexto y de acuerdo con lo establecido por la CSA, la única vía para asegurar los recursos de computación son un cifrado fuerte y una administración escalable de llaves.

Si bien los autores hablan del cifrado como la única vía para el aseguramiento en la nube, esta decisión implica elementos de gestión y control propios de la infraestructura que deben ser manejados y administrados por los clientes, los cuales son los que mantienen el control sobre sus datos en la infraestructura de la nube. En este escenario, los diseños y aplicación de los servicios deben estar articulados con esta directriz de confidencialidad de la información.

Administración de la Identidad y el Acceso
Esta variable de análisis nos invita a revisar los temas de la identidad de los usuarios en el consumo de los servicios de una infraestructura. Si bien, a la fecha no existe un ambiente maduro que evidencie la preparación de las organizaciones para la administración de la identidad, se hace necesario revisar en el contexto de los proveedores en la nube, el grado de madurez de esta estrategia, de cara a una futura implementación de la misma, como parte interesada y participante de la identidad de los usuarios en ella.

Almacenamiento
En este segmento del documento las preguntas que el cliente de los servicios en la nube se hace son:
• ¿Cómo el proveedor asegura que sus datos sean confiables y estén disponibles de acuerdo con sus necesidades de negocio?
• ¿Está usted y sus clientes confiados en la promesa de que toda su información privada y confidencial permanece como tal y debidamente protegida?
• ¿Están sus datos almacenados de manera confiable y debidamente segregados de otros residentes en la misma granja de almacenamiento?

Virtualización
Este componente es una de las variables fundamentales al considerar la estrategia de computación en la nube. Dentro del conjunto de riesgos a revisar en este aspecto se encuentran:
• Nuevas tecnologías, que mantienen antiguas vulnerabilidades y el surgimiento de otras. Esto implica que a mayor complejidad de la configuración del entorno de operación, menores y poco homogéneos aspectos de seguridad y control.
• Pérdida de la seguridad por defecto, es decir, que al cambiar un entorno previamente configurado, se requiere una nueva configuración de las condiciones de seguridad tanto en el hardware como en el software utilizado.
• Mezcla de retos alrededor de la integridad, que implica la mixtura de datos y niveles de confidencialidad. El tratamiento de la reconfiguración de entornos, implica un manejo de información que puede no ser la más adecuada.
• Aspectos de jurisdicción, regulatorios y de control, tema que ha sido tratado en otros apartes del documento de la CSA.
• Nuevos retos administrativos que impactan la seguridad, esto es, la configuración de las máquinas y sus recursos, requiere un nivel de seguridad y control adicional al propio de las aplicaciones que se ejecutarán en ellas. La seguridad de la virtualización en sí misma, es una característica necesaria dentro de la administración de ambientes computacionales en esta condición.

Por tanto, antes de considerar una estrategia de computación en la nube, revise las implicaciones que establece esta opción y recuerde que, será un tercero quién ahora participará del control de sus datos y aplicaciones. La decisión es suya!

domingo, 4 de octubre de 2009

Reflexiones sobre las métricas en seguridad de la información

Revisando las ideas desarrolladas por Bruce Schneier en su libro “Beyond fear” publicado en 2003, sobre la seguridad de la información encontramos que muchas de ellas nos sirven de escenario base para adelantar una reflexión sobre lo que pueden ser las métricas en seguridad de la información.


Dice Schneier:

  • La seguridad es subjetiva y será diferente para diferentes personas, pues cada una de ellas determina su nivel de riesgo y evalúa sus estrategias compensatorias (trade-off) frente a los controles.
  • La seguridad es un sistema. Un sistema de contramedidas (controles) individuales y sus interacciones.
  • El sistema de seguridad es en sí mismo una colección de activos mas funcionalidad.
  • Las interacciones entre sistemas son inevitables. Éstas producen o generan propiedades emergentes de los sistemas. En este sentido, de alguna manera las brechas de seguridad son resultado de las propiedades emergentes.
  • La seguridad no es una función que pueda ser verificada, como una reacción química o un proceso de manufactura. Por el contrario, solamente es efectivamente verificada cuando algo no sale bien.
  • El atacante debe ser parte del diseño de un sistema de seguridad, por tanto, el sistema debe tomar en cuenta el atacante para mantenerse seguro.
  • Los diseñadores de sistemas informáticos que quieren hacer sus sistemas más seguros deben construirlo tan simple como sea posible: elimine opciones, reduzca interacción con otros sistemas, corte funcionalidad que no sea necesaria.
  • Usted no podrá tomar buenas decisiones sobre qué tanta seguridad necesita hasta que no conozca los mecanismos de detección y respuesta que necesita implementar.
  • “Invulnerable”, “impenetrable” son palabras que no tienen sentido cuando se habla acerca de la seguridad.
  • Cuando ocurre un evento de seguridad, regularmente las personas se vuelven más experimentadas y saben que hacer.


Todas estas reflexiones nos hablan de un concepto de seguridad de la información basada en la inseguridad, en ese elemento tangible y medible como lo es la falla en sí misma. En este sentido, las métricas de seguridad de la información deben responder a la capacidad de la organización de responder a las brechas de seguridad, a la cultura de reporte de incidentes de seguridad y al nivel de confianza que quiere tener la alta gerencia respecto de la seguridad de los activos de información.


En este contexto, medir en seguridad de la información no debe estar atado a los estándares de seguridad como el ISO 27000, sino a las relaciones emergentes y propias de cómo se ejecutan las prácticas diarias de seguridad de la información en la organización, en los detalles de cómo se asumen y manejan los escenarios de falla y sobremanera, en la forma como la gerencia quiere administrar los riesgos propios de la protección de la información.


Así las cosas, medir en seguridad de la información exige el reconocimiento de la cultura de seguridad de la información, ese núcleo de supuestos, prácticas expuestas y en uso, así como los artefactos tecnológicos que hacen parte de la estrategia corporativa de seguridad de la información para desestimar posibles conductas que atenten contra la confianza emergente de la gerencia en la protección de los activos.


La gerencia valora más la manera como la organización se enfrenta y reacciona cuando se tiene una brecha de seguridad, que cuando no la tiene. Pues puede ver allí que tan preparada está para que, a pesar de los hechos, pueda procesar el incidente y seguir operando. Así mismo, reconoce el valor de un enfoque preventivo y de aseguramiento, más que uno reactivo y postmortem, porque sabe que mientras más pueda avanzar en una administración de riesgos de seguridad de la información, mejor podrá posicionar su confianza y la de sus clientes para fortalecer sus alianzas estratégicas.


Si bien esta reflexión no pretender agotar el tema de las métricas en seguridad de la información u ofrecer un conjunto de ellas, si busca repensar las ya existentes basadas en operaciones o números, que si bien son muy útiles para mirar la efectividad de las tecnologías de seguridad, no son suficientes para dar respuesta a la pregunta que se hace la gerencia: ¿Cuál es el nivel de confianza que tiene la organización en la seguridad de la información?


Medir en seguridad de la información, no es un tema exclusivamente de números, cantidades o volúmenes. Es una estrategia y la mejor excusa para dar respuesta a una pregunta, a una realidad que se hace evidente en la cultura de seguridad de la información. Medir es reconocer que somos tan seguros como la atención y gestión de los incidentes que hemos tenido, como el nivel fallas que experimentamos en las tecnologías de seguridad y la percepción de protección y amparo que cada una de las personas de la organización presenta.


Cuando nos arriesgamos a medir la gestión de la seguridad de la información, es decir, la generación de valor basada en la protección de los activos de información, nos lanzamos a ver con los ojos de la gerencia su entendimiento de los riesgos frente a los procesos de negocio.

sábado, 12 de septiembre de 2009

12 Recomendaciones para configurar su estrategia de seguridad de la información

Una vez más comentamos un informe de Forrester Research, que establece 12 recomendaciones para considerar dentro de la estrategia de seguridad de la información en 2009. Bien podemos o no estar de acuerdo con este documento, sin embargo desarrollaremos algunos comentarios alrededor del mismo, como una excusa académica y prácticas para validar lo que ha ocurrido hasta el momento en el desarrollo de la inseguridad de la información durante este año.


De acuerdo con el estudio referenciado existen posibilitadotes de negocios (Business Drivers), cambios tecnológicos y aspectos económicos que definen la estrategia de seguridad de la información en 2009. A continuación detallaremos algunos de ellos y sus impactos en la estrategia de seguridad de la información.


Dentro de posibilitadotes de negocio (PN) tenemos:

  • Enfréntese con la conectividad y los requerimientos de un ambiente móvil.
  • Láncese a conocer y desarrollar nuevos modelos de negocio, pero considere sus riesgos.
  • Asuma su papel como enlace con los negocios.
  • Haga la seguridad invisible a los negocios y valor para sus clientes


Como cambios tecnológicos (CT) el documento enumera:

  • Combatir del cibercrimen con personas, procesos y tecnología
  • Separar los hechos de la ficción con respecto a la virtualización
  • Acoja el Web 2.0 pero mantenga la privacidad
  • Tome la aproximación del ciclo de vida de la información para proteger los datos


Detalla los aspectos económicos (AE) como:

  • Invierta su presupuesto para impactar la línea base
  • Sea flexible con los proyectos de grandes inversiones
  • Adopte la estrategia de servicios manejados por terceros
  • Evite los “ajustes” relacionados con el apetito al riesgo


Si revisamos cada uno de los elementos propuestos por Forrester, podemos ver que para los habilitadores de negocio, el factor riesgo es la variable más importante que el gerente de seguridad de la información debe tener en cuenta. No se trata de tomar todos los riesgos para lograr la estrategia de negocio, sino incluir dentro del diseño de la estrategia de negocio, la valoración de los riesgos de la información y su flujo en el nuevo modelo propuesto. Con ello no sólo alcanzará su papel como enlace con las metas de negocio, sino que hará evidente el nivel de exposición de la información cuando se haga realidad la nueva estrategia para la empresa.


Cuando tomamos lo relativo a los cambios tecnológicos se advierte con claridad que el enfoque está hacia la tercerización y las nuevas tecnologías de desarrollo, los cuales establecen grandes oportunidades para las organizaciones, pero de igual forma, grandes riesgos si sólo se toman y se ponen en funcionamiento. En este sentido, es deber del gerente de seguridad de la información hace evidente los posibles riesgos que ambas estrategias sugieren para la información de la organización, no como un ente que limite el cambio o vaya en contra de la estrategia corporativa, sino como un animador de la reflexión que permita establecer los acuerdos tácticos requeridos para hacer realidad la estrategia corporativa con el nivel de riesgo que acepta la organización frente a la información y los datos, tanto propios como los de sus clientes.


Finalmente los aspectos económicos, confirman las dos tendencias identificadas tanto en los cambios tecnológicos como en los habilitadores de negocio. La advertencia en este punto es modere sus riesgos frente a las grandes inversiones en seguridad de la información y avance con firmeza en el fortalecimiento de la línea base de las prácticas de seguridad de la información. Si bien, es necesario mantener un balance entre las necesidades de negocio y los riesgos de la seguridad de la información, es clave soportar dicho balance en una fuerte cultura de cuidado de los activos de información, que no es otra cosa, que reconocer en la información la misión misma del área de seguridad de la información.


En razón a lo anterior, la gerencia de seguridad de la información deberá mantener una mentalidad de servicio, que no busque protagonismos en las funciones de negocio, sino la perfecta sinergia que agrega valor al proceso y a sus clientes. Así mismo, deberá promover una cultura de apoyo y educación, que promueva desde su propio ejemplo, las prácticas que desea desarrollar en la organización. Finalmente y no menos importante, la gerencia de la seguridad, deberá entender y traducir las prioridades del negocio, como su insumo base para hacer de la experiencia de la seguridad de la información una práctica natural de los procesos organizacionales y no una restricción que sólo busca entender de manera individual los riesgos de la información.