domingo, 22 de noviembre de 2009

Fraude y Fuga de Información: Inseguridad en dos sectores críticos

Luego de revisar múltiples documentos relacionados con riesgos en el área de tecnología, considerar los conceptos relacionados con las “sorpresas predecibles” y verificar en la práctica la pertinencia de los mismos en la gerencia moderna de las tecnologías de información y las comunicaciones – TICS, no es aventurado considerar que la administración de riesgos es una competencia que todo aquel que desee diferenciarse en la práctica de su profesión en el siglo XXI, debe desarrollar y afianzar.

En este contexto, revisando la práctica de la administración de riesgos en dos industrias, como la financiera o bancaria, así como en la industria de la energía (particularmente la del petróleo), se advierten riesgos propios y claves donde la tecnología juega un papel fundamental en el entendimiento de cada uno de éstos sectores.

Mientras en la banca, el riesgo o motivador fundamental de la administración de riesgos es el fraude, es decir, “esa conducta que busca engañar a un tercero, buscando un beneficio propio”, en la industria del petróleo es la fuga de información, esa “acción deliberada y consciente para liberar información de carácter estratégico o sensible, que debilita la posición estratégica de una organización”. Los dos riesgos enumerados, demuestran ampliamente que cada sector requiere estrategias diferentes para hacer que sus negocios funcionen de la mejor forma y generen valor para sus accionistas.

En este escenario, la TICS juegan un papel fundamental, bien para apalancar una estrategia de seguridad y control que limite la materialización de un fraude o la fuga de la información, o bien para ser herramienta facilitadora de los mismos. Sin embargo, es de anotar, que para el tratamiento de cualquiera de los dos riesgos identificados, las solas TICS no son suficientes, por lo cual se requiere una visión holística que permita integrar las múltiples variables que permitan comprender las interrelaciones de las personas, la tecnología y los procesos, para así visualizar acciones que permitan confrontar dichos riesgos.

Las TICS como facilitadores del fraude establecen y advierten una serie de características que, de una u otra forma, son prácticas inadecuadas que potencian que dicho riesgo se haga realidad. Cuando contamos con una plataforma tecnológica que desconoce la segregación funcional, el principio del menor privilegio, la aceptación psicológica del control, la defensa en profundidad, un diseño abierto, una postura de falla segura y la sencillez en la implementación, estamos abonando el terreno para que la inseguridad de la información se haga presente y tenga múltiples espacios para sorprendernos y así, dejar en evidencia, que nos falta comprender mejor las TICS y sus relaciones, así como los flujos de información en los procesos de negocio.

Cuando de caracterizar la fuga de información a través de tecnologías de información y comunicaciones, la situación no mejora; se hace evidente que la información, si bien, es un activo fundamental para la organización, ésta afirmación no se hace efectiva en las prácticas de seguridad en cada uno de sus procesos de negocio. La información como activo base de la movilización y decisiones de la organización es una realidad que enfrenta múltiples enemigos que buscan hacerla presa de la incertidumbre, la imprecisión, la no disponibilidad, la pérdida de sus principios: confidencialidad, integridad y disponibilidad, que en últimas demuestran los exigentes comportamientos que tanto tecnología, como procesos y personas deben asumir para mitigar, transferir y asumir frente dichos enemigos.

Tanto el fraude como la fuga de información, son realidades que están apalancadas en aplicación sistemática de malas prácticas, que llevan indefectiblemente a las organizaciones al escenario de los incidentes, los cuales deben ser identificados, clasificados, valorados e investigados (cuando la situación lo amerite y valoración lo establezca) de cara a reconocer que debemos continuar aprendiendo de lo que ocurre y claro está, evitar que la misma conducta o condición se haga evidente.

Por tanto, cuando reconozcamos que la inseguridad de la información debe ser nuestra maestra y compañera, cuando hagamos evidente en nuestras valoraciones de riesgo, que el riesgo residual siempre estará latente y deberá ser monitoreado, sólo hasta ese momento podremos tener una postura vigilante y un mínimo de paranoia administrada, que sea la base de nuestra estrategia de defensa, que no es más que el mejor ataque contra la ágil, despierta y siempre activa inseguridad.

Otras fuentes de información:
http://www.acsac.org/secshelf/papers/protection_information.pdf
http://newsroom.cisco.com/dlls/2008/prod_111208.html
http://www.acfe.com/documents/managing-business-risk.pdf